Microsoft 已确认网络犯罪分子正在利用两个未修补的 Exchange Server 零日漏洞进行实际攻击。
越南网络安全公司 GTSC 于 2022 年 8 月首次发现了其对客户网络安全事件的响应中存在的缺陷,该公司表示,这两个零日漏洞已被用于对客户环境的攻击,其历史可追溯至 2022 年 8 月上旬。
微软安全响应中心 (MRSC) 在周四晚些时候的一篇博文中表示,这两个漏洞被确定为 CVE-2022-41040,一个服务器端请求伪造 (SSRF) 漏洞,而第二个漏洞被确定为 CVE-2022-41082 ,当攻击者可以访问 PowerShell 时,允许在易受攻击的服务器上远程执行代码。
“此时,微软意识到有限的针对性攻击利用这两个漏洞进入用户系统,”这家科技巨头证实。
微软指出,攻击者需要对易受攻击的Exchange Server进行身份验证访问,例如被盗凭据,才能成功利用这两个漏洞中的任何一个,这会影响内部部署的 Microsoft Exchange Server 2013、2016 和 2019。
微软没有分享有关攻击的任何进一步细节,也拒绝回答我们的问题。安全公司趋势科技对这两个漏洞的严重程度评分为 8.8 和 6.3(满分为 10 分)。
然而,GTSC 报告说,网络犯罪分子将这两个漏洞链接起来,在受害者的系统上创建后门,并通过受感染的网络横向移动。 “在成功掌握了漏洞利用后,我们记录了攻击以收集信息并在受害者的系统中建立立足点,”GTSC 说。
GTSC 表示,它怀疑一个中国威胁组织可能对正在进行的攻击负责,因为 webshell 代码页使用简体中文的字符编码。攻击者还部署了 China Chopper webshell 来进行持久远程访问,这是中国政府支持的黑客组织常用的后门。
安全研究员 Kevin Beaumont 是周四在一系列推文中率先讨论 GTSC 调查结果的人之一,他表示他知道该漏洞正在“在野外被积极利用”,并且他“可以确认大量 Exchange 服务器已经被后门。”
微软拒绝透露补丁何时可用,但在其博客文章中指出,即将到来的修复将在“加速时间表上”。
在此之前,该公司建议客户遵循 GTSC 共享的临时缓解措施,其中包括在 IIS 管理器中添加阻止规则。该公司指出,Exchange Online 客户目前不需要采取任何行动,因为零日漏洞只会影响本地 Exchange 服务器。
微软表示两个新的 Exchange 零日漏洞受到主动攻击,但Carly Page最初在TechCrunch上发布并没有立即修复
原文: https://techcrunch.com/2022/09/30/microsoft-exchange-zero-days/