CISA建议立即修补Exchange ProxyShell漏洞
美国网络安全和基础设施安全局(CISA)发出警报,警告管理员解决积极利用的本地Microsoft Exchange服务器的ProxyShell漏洞。
ProxyShell是三个漏洞的名称,未经身份验证的远程攻击者可以通过链接这些漏洞在Microsoft Exchange服务器上执行代码。
ProxyShell攻击中使用的三个漏洞是:
CVE-2021-34473–预身份验证路径混淆导致ACL绕过(KB5001779于4月修补)
CVE-2021-34523–Exchange PowerShell后端的特权提升(KB5001779于4月修补)
CVE-2021-31207–授权后任意文件写入导致RCE(KB5003435于5月修补)
这些漏洞是通过在IIS中的端口443上运行的Microsoft Exchange的客户端访问服务(CAS)远程利用的。
这些漏洞是由Devcore的安全研究员Tsai orange发现的,在2021年4月的Pwn2Own黑客大赛中,这些问题获得了200,000美元的奖金。上周四,Orange Tsai在Black Hat会议上发表了演讲,并分享了有关Microsoft Exchange漏洞的详细信息。
Tsai解释说,ProxyShell攻击链针对Microsoft Exchange中的多个组件,包括自动发现服务,客户端应用程序使用该服务以最少的用户输入来配置自身。
CISA发布的警报中写道:
恶意网络攻击者正在积极利用以下 ProxyShell漏洞:CVE-2021-34473、CVE-2021-34523和CVE-2021-31207。
利用这些漏洞的攻击者可以在易受攻击的机器上执行任意代码。CISA强烈敦促组织识别其网络上的易受攻击的系统,并从2021年5月起立即应用微软的安全更新——修复所有三个ProxyShell漏洞——以防止这些攻击。
广受欢迎的网络安全专家Kevin Beaumont是最早发现试图针对Microsoft Exchange安装的威胁行为者的研究人员之一。
在研究人员在Black Hat黑客大会上发布技术细节后,威胁参与者开始积极扫描Microsoft Exchange ProxyShell远程代码执行缺陷。
攻击者首先会破坏Microsoft Exchange服务器,然后利用这些缺陷来投放可用于安装和执行其他恶意负载的Webshell。
在利用Exchange服务器后,攻击者投放了可用于上传其他程序并执行它们的Webshell。
最近发现一个名为LockFile 的新勒索软件团伙使用最近披露的ProxyShell漏洞攻击Microsoft Exchange服务器。
Symantec的安全专家报告称,Lockfile团伙首先破坏了Microsoft Exchange服务器,然后利用PetitPotam漏洞接管了域控制器。
直到上周,安全公司Huntress Labs的研究人员发现,攻击者在1,900多台受感染的Microsoft Exchange服务器上部署了140多个Webshell。