由于对Exchange服务器升级的攻击,Microsoft调查了潜在的PoC漏洞

世界各地的Microsoft Exchange服务器仍然受到危害 Perxylogon. (CVE-2021-26855)和其他三种漏洞 修补了 3月初的微软。

微软 Exchange.漏洞利用

虽然初始攻击被微软归因于被称为铪的威胁演员,但被认为是一个由中国运营的国家赞助的小组,同样的利用 至少10个宽度组使用 –主要用于数据盗窃,间谍和隐蔽加密挖掘。

安全研究人员警告说,兰非沃尔厂团伙将获得乐队旅行车,并且肯定地,一个集团利用一个名为Dearcry的新赎金软件(AKA Doejocrypt) 被发现了 利用漏洞安装人为的恶意软件。

微软观察了一个新的人类经营赎金软件攻击客户 - 被检测为赎金:Win32 / doejocrypt.a。人类操作的赎金软件攻击正在利用Microsoft Exchange漏洞利用客户。 #dearcry. @msftsecintel.

—Phillip Misner(@Phillip_misner) 2021年3月12日

微软 Exchange.利用仍然未知

ESET.研究人员表示,铪旁边的多个APTS可以访问并使用相同/相似的利用,即使在修补程序释放之前,也有一些甚至在修补程序释放后一天开始使用它(即,它’不太可能通过逆向工程Microsoft更新构建漏洞利用)。

这些各种攻击组全部开始使用同样的利用,几乎同时攻击仍然是一个谜。安全研究人员 提供 几个合理的理论:利用在地下市场出售,创建利用的小组与他人共享(原因,仅限于他们),或各种团体全部由普通实体组织,这提供了利用他们所有人。

据报告,微软调查了创建利用的人是否可以通过其Microsoft Active Protection Program(MAPP)于2月23日至80左右或So Security Partners获得的“概念证明”攻击代码。

根据 华尔街日报,调查人员正试图发现收到信息和PoC的Microsoft合作伙伴可能已将其泄露给其他组,“无意中或故意,”由于攻击第二波中使用的一些工具与其相似。

事件响应,修复和缓解

被击中的组织赢得了’T care各种组如何获得初始或后续的Microsoft Exchange expoit–他们只想知道攻击者通过漏洞获得的访问权限。

微软表示,弱势服务器的数量稳步下降。根据Kryptos Logic的最新数字 Shadowserver, 有“59218不同的潜在弱势易受攻击的Microsoft Exchange服务器,在59142个唯一的IP地址,对应于6501个不同的自主系统编号(ASN),地理位置为211个不同的国家。 ”

Shadowserver已分享此列表,并以前的148个国家和超过5900多个国家CSIRT的列表,并鼓励他们与服务器联系’所有者并帮助他们修复和修补/重建受害者系统。

微软和各种政府机构建议运行Exchange服务器的组织内部设施,以查找所有安装,将所有相关的安全更新(或减轻)应用于每个发现的系统,然后移动以识别这些是否已受到损害,并且如果是的话,从网络中删除它们。

“We have provided a 推荐系列的步骤和工具 为帮助 - 包括将让您扫描妥协迹象的脚本,新版本的Microsoft安全扫描程序,以识别可疑恶意软件,以及一组实时更新并广泛共享的妥协指标集。这些工具现已上市,我们鼓励所有客户部署它们,”微软安全团队 共享 on Friday.

美国CISA提供了一个 不断更新文件 有助于攻击者的有用信息’TTP,以及关于如何进行法医分析以检查妥协证据的建议。

微软 Security Team表示,内部房屋的交换服务器通常由中小型企业使用,“虽然具有本地交换服务器的更大组织也受到影响。”

湾湾网络保险公司讲述了190个企业(0.5%)在其公司投资组合中的1个净安全,暴露于交流脆弱性,并且他们的安全团队一直致力于帮助他们解决这个问题。他们指出,这些暴露的企业中的大多数是中小型企业。

“交流脆弱性是对一个严重妥协,这是一项严重的妥协,这些资产有可能占用一家小公司的业务。虽然我们赞扬微软的快速响应和多个政府机构提供的广泛指导,但我们害怕这几乎不够,”湾湾首席执行官Rotem Iram说。

“在类似之前的情况下,从EternalBlue到Albkeke,尽管有指导,许多公司没有补丁。因此,我们相信政府和微软的责任,以确保美国企业的安全应超越指导。”

中小型企业不太可能大型组织,以了解知识渊博的IT安全人员,调查攻击者是否会损害其交换服务器和/或超越该。他们将不得不从外面的专家中聘用–如果他们有这样的手段。或者,他们可以从区域或地区寻求帮助 国家计算机安全事件响应团队(CSIRT).

更新(3月16日,2021年,05:40 A.M.PT):

微软 已发布 Exchange infises缓解工具(EOMT),它快速执行初始步骤,用于在任何交换服务器上减轻Proxylogon漏洞(CVE-2021-26855)并尝试修复发现的妥协。

分享这个