3月 29, 2024
文章 网络安全

微软建议用户及时更新 Exchange 服务器并采取预防措施

微软建议用户将他们的 Exchange 服务器保持在最新状态,并采取预防措施,例如打开 Windows 扩展保护和设置基于证书的 PowerShell 序列化有效负载签名。

该软件巨头的 Exchange 团队在一篇帖子中表示,试图以未打补丁的 Exchange 服务器为目标的攻击者不会停止。未打补丁的本地 Exchange 基础设施对试图窃取数据或进行其他不法行为的敌对行为者的价值太大了。

微软还指出,它发布的缓解措施只是临时修复,可能“不足以防范攻击的所有排列”,要求用户安装所需的安全升级以保护服务器。


本周 Bitdefender 发布的技术咨询包括将 Exchange 描述为“完美目标”,以及从 2022 年 11 月下旬开始使用 ProxyNotShell / OWASSRF 漏洞利用链的一些实际攻击的时间表。


Bitdefender 的 Martin Zugec 表示,Exchange 拥有复杂的前端和后端服务网络,以及用于向后兼容的旧代码。来自前端 [Client Access Services] 层的请求受到后端服务的信任。

许多后端服务由Exchange Server 本身运行,具有SYSTEM 权限,这是另一个原因。此外,这些漏洞可能会让攻击者未经授权访问远程 PowerShell 服务,从而有效地为执行恶意命令打开了大门。

未命名 772x350 1 680x350<a href="/zh/httpswwwgooglecomampswwwcnetcomgoogle/" ampnewsmicrosofts office 365 is now microsoft a subscription for your lifehttpswwwgooglecomampswwwcnetcomgoogle httpswwwgooglecomampswwwcnetcomgoogle target ="blank" rel ="noopener" nofollow title ="">httpswwwgooglecomampswwwcnetcomgoogle ampnewsmicrosofts office 365 现在是 microsoft 365 为您的生活订阅 httpswwwgooglecomampswwwwcnetcomgoogle ampnewsmicrosofts office 365 现在是为您的 microsoft 365 订阅 httpswwwgooglecomampswwwcnetcomgoogle ampnewsmicrosofts office 365 现在是为您的 microsoft 365 订阅 <a>

为此,利用 ProxyNotShell 和 OWASSRF 弱点的攻击针对奥地利、科威特、波兰、土耳其和美国的咨询、法律、制造、房地产和批发行业

.旨在建立 Web shell 和远程监控和管理 (RMM) 工具(如 ConnectWise Control 和 GoTo Resolve)的感染被认为是大多数攻击的高潮,这些攻击被描述为机会主义的,而不是有针对性的和有针对性的。

借助网络外壳,犯罪分子可以执行各种额外任务,甚至可以将访问权限转售给其他黑客团体以获取利润,此外还可以提供持久的远程访问技术。

有可能采用相同的技术来扩大攻击范围,因为在某些情况下,用于托管有效负载的临时服务器已经感染了 Microsoft Exchange 服务器。
还看到了攻击者未成功下载 Cobalt Strike 和代号为 GoBackClient 的基于 Go 的植入程序,该程序可以获取系统信息并生成反向 shell。

Cuba(也称为 COLDDRAW)勒索软件 UNC2596(也称为 Tropical Scorpius)的开发者有滥用 Microsoft Exchange 漏洞的历史。在一次攻击中,BUGHATCH 下载程序使用 ProxyNotShell 漏洞序列被删除。

尽管原始感染媒介在不断变化,威胁行为者渴望利用每一个新机会,但 Zugec 表示,他们的后开发活动是众所周知的。纵深防御架构是抵御当代网络攻击的最佳方式。

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

zh_CN简体中文