Microsoft Exchange 2019 已結束主流支持

根據非營利性安全組織Shadowserver的數據顯示，微軟此前解決的Microsoft Exchange高危漏洞CVE-2024-21410全球已識別到了97000臺潛在易受攻擊的Exchange服務器。進一步分析顯示，其中68500臺Exchange服務器的易受攻擊狀態取決于管理員是否應用了緩解措施，而28500臺Exchange服務器被確認容易受到該漏洞的攻擊。

在其10月份最近一次披露后，Tsai表示，他現在將不在研究Exchange漏洞，并宣布“這個系列終于結束”。盡管Tsai現在可能已經結束漏洞發現工作，但專家表示，對于那些負責保護Exchange服務器的人來說，威脅不會很快解除。該漏洞集被稱為ProxyOracle，被認為是風險最低的，可能是四組漏洞中討論最少的。以ProxyRelay結束快進到 2022 年 10 月，很多攻擊者仍然成功利用 Exchange 服務器上未修補的 ProxyLogon 和 ProxyShell 漏洞，Tsai 公布第四組稱為 ProxyRelay。

獲取郵箱賬號最常見的攻擊方式有兩種，釣魚郵件以及暴力破解。本文整理了Exchange暴力破解的方式，以及記錄和分享一些防范方面的小技巧。Exchange接口爆破Exchange部分接口默認使用NTLM認證，可通過嘗試驗證各接口來進行暴力破解。這個分享一個自動化腳本，集成了現有主流接口的爆破方式。

Exchange滲透思路總結

微軟表示將不再接受針對漏洞修復和設計更改請求（DCR）的申請，但公司將繼續發布補丁來修復最新發現的安全問題。

Microsoft Exchange是全球最常用的Email服務器之一,主要用于對企業網絡中的Email通信進行集中管理。它在互聯網上普遍性和可訪問性使其成為攻擊者的首選目標之一。

日前，微軟Microsoft Exchange爆出兩個高危的安全漏洞ProxyNotShell，目前已經有相關證據表明這兩個漏洞已經被黑客利用發起攻擊。CVE-2022-41040，這兩個漏洞影響 Microsoft Exchange Server 2013、2016 和 2019，并允許攻擊者提升權限以在系統上下文中運行 PowerShell，并在系統上獲得任意或遠程代碼執行受損的服務器。

雖然Redmond沒有透露問題的嚴重程度，但在過去24小時內，Outlook和Exchange Online用戶在DownDetector上提交了數千份報告，這些用戶在嘗試登錄或發送電子郵件時無法或遇到困難。

SessionManager 惡意軟件常常偽裝成 Internet 信息服務 (IIS) 的合法模塊，而 IIS 正是默認安裝在 Exchange 服務器上的 Web 服務。組織經常部署 IIS 模塊以簡化其 Web 基礎架構上的特定工作流程。