菜单

打电话给我们 03450 21 21 51

伟大的Microsoft Exchange黑客:渗透测试仪的指南
SRM博客

伟大的Microsoft Exchange黑客:渗透测试仪的指南

 Dean Moulden.

写道 Dean Moulden.

2021年3月17日

分享这篇文章

微软交流黑客

高级渗透测试仪,Dean Moulden概述了微软的高调黑客攻击的细节,并提供了他关于修复和预防的建议。

最近的几个披露 Microsoft Exchange零日漏洞 已经提出了大新闻,报告了超过60,000名受害者已经受到全世界的影响。随着政府机构认为在受到损害的情况下,这攻击已经击中了头条新闻并不奇怪。

许多人被评为分享违约的细节缓慢,微软已经被命名为国家赞助的黑客集团,汉尼姆,作为攻击背后的威胁演员。据信是努力为中国政府工作,汉尼姆是美高梅登录网址高度复杂的集体,专业知识,寻找和连锁多次利用,以获得有价值的信息,并在各国政府和相关机构开展网络间谍活动。

以前的报道表明,铪已向美国政府有联系的目标有针对性的国防承包商,并不令人难以置信,他们本可以与这款新的开发链相同。

发生了什么,何时?

对受损系统的法医分析表明,早在6时,野外发生了剥削 TH. 2021年1月。微软在2之前没有公开披露相关的漏洞 n 3月2021年3月并在后面发布了适用于受影响问题的补丁。这意味着攻击者可能有几个月的利用这些零天漏洞,并且在此期间,影响各方可能已经对此进行了影响。

特定攻击由小型漏洞组成,当合并时,这是极其影响。

其中的第美高梅登录网址是服务器端请求伪造(SSRF)问题,以交换允许攻击者验证为Exchange Server(CVE-2021-26855)。

统一消息服务中的不安全的反序列化问题(CVE-2021-26857)(用于在Exchange中提供语音消息功能)允许铪以在Exchange服务器上运行代码。据报道,为了利用这一点,攻击者将需要管理员权限,或者必须通过另美高梅登录网址漏洞利用来获得这一点。

找到了交换中的任意文件写漏洞(CVE-2021-26858),允许攻击者将文件写入服务器上的任何路径的功能,所以它们已能够进行身份验证。攻击者可以使用有效的管理员凭据或利用前面提到的SSRF问题进行身份验证。找到另美高梅登录网址任意文件写入漏洞(CVE-2021-27065),可以以相同的方式使用。

报告表明,Hafnium将SSRF问题与漏洞利用进行了攻击,以妥协其受害者,并且还能够通过此方法上传Web Shell,以确保他们对这些系统的访问更加永久。又称攻击者在违约后进一步枢转到美高梅登录网址组织,以建立更深的持久性。

布拉格市和捷克共和国的劳动部承认受此违约的影响。但英国政府机构和承包商呢?

天空新闻获得的文件表明,2020年起源于英国军事私营部门合作伙伴的2020年的记录次数,并据报道包括电子邮件违规行为。 12月份的违约日报比去年的任何美高梅登录网址月均有更多的违规行为 - 上年同期涨幅为262%。这也比2021年的下美高梅登录网址最残疾月高出31%。

虽然没有建立直接链接,但没有证据表明这次袭击是针对英国军事伙伴使用的,零日漏洞和国家赞助的黑客群体落后于其中一些袭击事件是合理的。它甚至可能是铪的情况使用他们的利用链以入到12月的12月获得与英国军方和相关承包商相关的系统,尽管这尚未得到证实。可以阅读完整的天空新闻文章 这里 .

一旦Microsoft发布了所识别的漏洞的相关补丁,就会在野外积极积极地积极地积极剥离未分割的系统。这表明其他恶意派对设为逆向工程修补程序并创建自己的漏洞。本文中的问题现已积极开发出10多名黑客群体,其中一些被认为是政府支持的网络 - 间谍团队。

修复和预防:现在是什么?

最好的行动方案是尽快应用安全更新,并确保系统完全最新。通过Microsoft为Exchange Server问题发布了修补程序。但是,在没有补丁的情况下可以做些什么?

可以限制对受影响服务的访问,在这种情况下,该服务将是受影响的Exchange HTTPS服务。 Web应用程序防火墙(WAF)也可用于在识别可疑行为时限制访问。但是,当关于问题的攻击和相关有效载荷时很少的信息时,无法阻止访问的机会较小。

文件完整性监控(FIM)也可以在服务器上使用,以帮助识别和防止上传恶意有效载荷和Web shell。

如果您怀疑您可能是此违约的受害者,或者想知道您如何改善您对类似攻击的恢复力,请点击此处与SRM团队联系 这里 .

了解有关SRM的更多信息’s 渗透测试服务.