菜单

打电话给我们 03450 21 21 51

伟大的Microsoft Exchange黑客:渗透测试仪的指南
SRM博客

伟大的Microsoft Exchange黑客:渗透测试仪的指南

 Dean Moulden.

写道 Dean Moulden.

2021年3月17日

分享这篇文章

微软交流黑客

高级渗透测试仪,Dean Moulden概述了微软的高调黑客攻击的细节,并提供了他关于修复和预防的建议。

最近的几个披露 Microsoft Exchange零日漏洞 已经提出了大新闻,报告了超过60,000名受害者已经受到全世界的影响。随着政府机构认为在受到损害的情况下,这攻击已经击中了头条新闻并不奇怪。

许多人被评为分享违约的细节缓慢,微软已经被命名为国家赞助的黑客集团,汉尼姆,作为攻击背后的威胁演员。据信是努力为中国政府工作,汉尼姆是一个高度复杂的集体,专业知识,寻找和连锁多次利用,以获得有价值的信息,并在各国政府和相关机构开展网络间谍活动。

以前的报道表明,铪已向美国政府有联系的目标有针对性的国防承包商,并不令人难以置信,他们本可以与这款新的开发链相同。

发生了什么,何时?

对受损系统的法医分析表明,早在6时,野外发生了剥削 TH. 2021年1月。微软在2之前没有公开披露相关的漏洞 n 3月2021年3月并在后面发布了适用于受影响问题的补丁。这意味着攻击者可能有几个月的利用这些零天漏洞,并且在此期间,影响各方可能已经对此进行了影响。

特定攻击由小型漏洞组成,当合并时,这是极其影响。

其中的第一个是服务器端请求伪造(SSRF)问题,以交换允许攻击者验证为Exchange Server(CVE-2021-26855)。

统一消息服务中的不安全的反序列化问题(CVE-2021-26857)(用于在Exchange中提供语音消息功能)允许铪以在Exchange服务器上运行代码。据报道,为了利用这一点,攻击者将需要管理员权限,或者必须通过另一个漏洞利用来获得这一点。

找到了交换中的任意文件写漏洞(CVE-2021-26858),允许攻击者将文件写入服务器上的任何路径的功能,所以它们已能够进行身份验证。攻击者可以使用有效的管理员凭据或利用前面提到的SSRF问题进行身份验证。找到另一个任意文件写入漏洞(CVE-2021-27065),可以以相同的方式使用。

报告表明,Hafnium将SSRF问题与漏洞利用进行了攻击,以妥协其受害者,并且还能够通过此方法上传Web Shell,以确保他们对这些系统的访问更加永久。又称攻击者在违约后进一步枢转到一个组织,以建立更深的持久性。

布拉格市和捷克共和国的劳动部承认受此违约的影响。但英国政府机构和承包商呢?

天空新闻获得的文件表明,2020年起源于英国军事私营部门合作伙伴的2020年的记录次数,并据报道包括电子邮件违规行为。 12月份的违约日报比去年的任何一个月均有更多的违规行为 - 上年同期涨幅为262%。这也比2021年的下一个最残疾月高出31%。

虽然没有建立直接链接,但没有证据表明这次袭击是针对英国军事伙伴使用的,零日漏洞和国家赞助的黑客群体落后于其中一些袭击事件是合理的。它甚至可能是铪的情况使用他们的利用链以入到12月的12月获得与英国军方和相关承包商相关的系统,尽管这尚未得到证实。可以阅读完整的天空新闻文章 这里 .

一旦Microsoft发布了所识别的漏洞的相关补丁,就会在野外积极积极地积极地积极剥离未分割的系统。这表明其他恶意派对设为逆向工程修补程序并创建自己的漏洞。本文中的问题现已积极开发出10多名黑客群体,其中一些被认为是政府支持的网络 - 间谍团队。

修复和预防:现在是什么?

最好的行动方案是尽快应用安全更新,并确保系统完全最新。通过Microsoft为Exchange Server问题发布了修补程序。但是,在没有补丁的情况下可以做些什么?

可以限制对受影响服务的访问,在这种情况下,该服务将是受影响的Exchange HTTPS服务。 Web应用程序防火墙(WAF)也可用于在识别可疑行为时限制访问。但是,当关于问题的攻击和相关有效载荷时很少的信息时,无法阻止访问的机会较小。

文件完整性监控(FIM)也可以在服务器上使用,以帮助识别和防止上传恶意有效载荷和Web shell。

如果您怀疑您可能是此违约的受害者,或者想知道您如何改善您对类似攻击的恢复力,请点击此处与SRM团队联系 这里 .

了解有关SRM的更多信息’s 渗透测试服务.