Exchange高危漏洞全球28500臺服務器確認易受攻擊

2022年1月11日，360漏洞云監測到Microsoft發布1月安全更新，修復了多個Microsoft中的漏洞。

在其10月份最近一次披露后，Tsai表示，他現在將不在研究Exchange漏洞，并宣布“這個系列終于結束”。盡管Tsai現在可能已經結束漏洞發現工作，但專家表示，對于那些負責保護Exchange服務器的人來說，威脅不會很快解除。該漏洞集被稱為ProxyOracle，被認為是風險最低的，可能是四組漏洞中討論最少的。以ProxyRelay結束快進到 2022 年 10 月，很多攻擊者仍然成功利用 Exchange 服務器上未修補的 ProxyLogon 和 ProxyShell 漏洞，Tsai 公布第四組稱為 ProxyRelay。

近日，有關Microsoft Exchange多個遠程代碼執行漏洞的技術細節以及PoC已在互聯網上公開。微軟已在7月補丁日發布這些漏洞的修復補丁，建議受影響用戶及時更新漏洞補丁進行防護，做好資產自查以及預防工作，以免遭受黑客攻擊。

近日，微軟官網上發布了一則關于Microsoft Exchange郵件系統的漏洞通報。以任意普通用戶身份登錄后，攻擊者可利用漏洞冒充Exchange Server上的其他任意用戶進行郵件收發操作（包括域管理員）。攻擊者除了將此漏洞用于某些工作場景的用戶偽造，更可能利用漏洞進行網絡釣魚、數據竊取或是其他惡意活動。

英國的國家網絡安全中心正在敦促英國組織為其Microsoft Exchange安裝安全補丁。這家英國機構透露已幫助英國組織保護大約2,100臺易受攻擊的Microsoft Exchange服務器的安裝。根據Microsoft的說法，PT APT在針對美國組織的針對性攻擊中利用了這些漏洞。該組織在歷史上發起了針對多個行業的美國組織的網絡間諜活動，其中包括律師事務所和傳染病研究人員。NCSC還建議組織運行Microsoft安全掃描程序以檢測Microsoft發現的攻擊中使用的Web外殼并將其刪除。

閱讀Microsoft發布的公告。跟蹤為CVE-2021-26857的第二個漏洞是駐留在統一消息服務中的不安全的反序列化漏洞。跟蹤為CVE-2021-27065的最后一個漏洞是Exchange中的身份驗證后任意文件寫入漏洞。根據Microsoft的說法，PT APT在針對美國組織的針對性攻擊中利用了這些漏洞。該組織在歷史上發起了針對多個行業的美國組織的網絡間諜活動，其中包括律師事務所和傳染病研究人員。

根據Microsoft的說法，PT APT在針對美國組織的針對性攻擊中利用了這些漏洞。本周，獨立安全研究人員Nguyen Jang在GitHub上發布了一種用于黑客入侵Microsoft Exchange服務器的概念驗證工具。The Record首次報告了amnnn概念驗證代碼的可用性。“一名越南安全研究人員今天針對Microsoft Exchange服務器中稱為ProxyLogon的一組漏洞發布了第一個功能性的概念驗證公開漏洞 ，并且在過去的一周中受到了嚴重的利用。”發布后幾個小時，GitHub取消了PoC黑客工具，因為它對使用Microsoft Exchange解決方案的微軟客戶構成了威脅。

Microsoft本周發布了緊急帶外安全更新，解決了所有受支持的MS Exchange版本中的四個零日問題。美國CISA的緊急指令要求聯邦機構緊急更新或斷開MS Exchange本地安裝。MS Exchange Server團隊的研究人員已經發布了一個腳本，管理員可以使用該腳本來檢查其安裝是否容易受到最近發現的漏洞的攻擊。微軟在GitHub上以開源形式發布了該工具，該工具可用于檢查Exchange服務器的狀態。“ Microsoft發布了更新的腳本，該腳本掃描Exchange日志文件以查找與 2021年3月2日披露的漏洞相關的危害指標。”

臺灣咨詢公司Devcore的安全研究員Orange Tsai在2020年底首次發現了ProxyLogon，這是一個服務器端請求偽造漏洞，可能允許攻擊者繞過Exchange服務器中的身份驗證。在微軟公開披露和修補該漏洞前，名為Hafnium的團伙在一系列零日攻擊中利用了該漏洞。然而，這家科技巨頭直到8月18日才公開披露或修補該漏洞，此前Devcore多次請求擴展和跟進。ProxyRelay的發現在研究是否有辦法繞過微軟針對2021年Proxy相關攻擊的緩解措施時，Tsai首次發現了這些漏洞。

風險通告 近日，奇安信CERT監測到微軟修復了Microsoft Exchange多個高危漏洞。通過組合利用這些漏洞能夠在未經身份驗證的情況下遠程獲取目標服務器權限。其中包括CVE-2021-26855：服務端請求偽造漏洞；CVE-2021-2685...