- A+
研究人员警告说,一个漏洞是Microsoft Exchange服务器正在被多个APT组积极利用。
研究人员警告说,多个威胁组正在积极利用Microsoft Exchange服务器中的漏洞。 如果未修补,则该漏洞使经过身份验证的攻击者可以使用系统特权远程执行代码。
该漏洞(CVE-2020-0688)存在于Exchange,Microsoft的邮件服务器和日历服务器的控制面板中,并已作为Microsoft February Patch Tuesday更新的一部分修复。 但是,研究人员在周五的一份通报中说,未打补丁的服务器正在被不知名的高级持续威胁(APT)参与者在野外利用。
“我们迄今为止看到的是多个中国APT团体正在利用或试图利用这一缺陷,” Volexity的创始人兼总裁Steven Adair告诉Threatpost。 “但是,我认为可以肯定地说,这种漏洞利用已经掌握在世界各地的运营商手中,不幸的是,一些尚未修补或未足够迅速修补的公司可能会为此付出代价。”
研究人员说,攻击始于2月下旬,针对“众多受影响的组织”。 他们观察到攻击者利用该缺陷运行系统命令来进行侦察,部署Webshell后门以及在利用后执行内存中框架。
瑕疵
微软在2月修补了该漏洞之后,研究人员使用了零日倡议(ZDI),该漏洞首次报告了该漏洞,并发布了该漏洞的进一步详细信息以及如何利用该漏洞。 并且,在3月4日,Rapid7发布了一个模块,将该漏洞整合到Metasploit渗透测试框架中。
该漏洞存在于Exchange控制面板(ECP)中,Exchange Server 2010中引入了此漏洞,这是基于Web的管理员管理界面,在Exchange Server 2010中引入。具体地说,该配置中的所有安装都没有按安装逐一生成的加密密钥,的ECP具有相同的加密密钥值。 这些加密密钥用于为ViewState(ASP.NET Web应用程序在客户端上以序列化格式存储的服务器端数据)提供安全性。
根据ZDI的说法,如果未打补丁的Exchange服务器(2020年2月11日之前),攻击者可以访问ECP接口以及攻击者具有允许他们访问ECP的有效凭据,则攻击者可以利用该服务器。 使用受损的凭据访问ECP后,攻击者可以通过诱使服务器反序列化恶意制作的ViewState数据,然后允许他们接管Exchange服务器,从而利用固定的加密密钥。
漏洞研究主管,趋势科技ZDI程序负责人Brian Gorenc通过电子邮件对Threatpost表示:“购买该漏洞时,我们意识到了该漏洞的严重性。” “这就是为什么我们与Microsoft合作通过协调公开对其进行修补的原因,这就是为什么我们通过博客向防御者提供有关它的详细信息的原因。 我们认为Exchange管理员应该将其视为重要补丁而不是Microsoft标记为重要。 我们鼓励所有人尽快应用补丁,以保护自己免受此漏洞的侵害。”
蛮力
研究人员说,尽管攻击者需要凭据才能利用该漏洞,但凭据并不需要具有很高的特权,甚至不需要ECP访问权限。
在披露了该漏洞的技术细节之后,研究人员说,他们观察到多个APT组试图利用Exchange Web Services(EWS)来强行破解凭据,他们说这很可能是利用此漏洞的一种努力。
研究人员说:“虽然强行使用凭证是一种普遍现象,但是在某些组织中,随着漏洞的披露,攻击的频率和强度已大大增加。”
研究人员说,他们认为这些努力将来自“已知的APT小组”,因为它们的IP地址与其他先前的攻击重叠。 同样,在某些情况下,所使用的凭据与APT小组以前的违规行为相关。
向前走
在接下来的几个月中,Adair告诉Threatpost,他怀疑很容易有数百家组织受到这种攻击。
“从我们的角度来看,我们看到的成功攻击只是少数不同的服务器和组织,” Adair说。 “但是,我希望攻击者能够在全世界范围内访问受感染的凭据,并且无法更好地利用它们。”
研究人员鼓励组织确保它们来自Microsoft的最新安全更新,以及在ECP虚拟目录上或通过任何Web应用程序防火墙功能设置访问控制列表(ACL)限制。 研究人员说,企业还应该继续使密码失效,并要求用户定期更新密码。
研究人员说:“此漏洞强调了这样一种情况,即组织可以被锁定,正确部署2FA并仍然由于过时或弱密码而发生事件。”
对物联网的安全性以及5G如何改变威胁格局感兴趣? 加入我们的免费Threatpost网络研讨会“ 5G,奥林匹克运动和下一代安全挑战” ,我们的小组讨论了2020年预期的用例(奥林匹克运动将是第一个测试),5G安全风险为何不同,作用防御中的AI以及企业如何管理风险。 在这里注册 。
