厙浩文

不久前，微軟發(fā)布了緊急補丁，以解決Exchange Server中此前未公開的4個安全漏洞。據(jù)稱，一些威脅行為者正在積極利用這些漏洞，以期進行數(shù)據(jù)盜竊。

微軟威脅情報中心（Microsoft Threat Intelligence Center，MSTIC）將攻擊描述為“有限的和有針對性的”，攻擊者利用這些漏洞訪問了本地Exchange服務(wù)器，進而授予了對電子郵件帳戶的訪問權(quán)限，并為安裝其他惡意軟件做好了鋪墊，以方便長期訪問受害者環(huán)境。

這家科技巨頭最初將此次活動高度自信地歸因于一個被稱為鉿（HAFNIUM）的威脅者，當(dāng)然不排除其他組織也可能參與其中的可能性。

Microsoft首次討論該團體的策略、技術(shù)和程序（TTP），將HAFNIUM描繪為“技術(shù)高超和較為熟練的攻擊者”，主要針對美國一系列行業(yè)中的實體企業(yè)，以從中泄露敏感信息，包括傳染病研究人員、律師事務(wù)所、高等教育機構(gòu)、國防承包商，政策智囊團和非政府組織。

HAFNIUM通過利用美國租用的虛擬私人服務(wù)器來策劃其攻擊，以掩蓋其惡意活動。

攻擊分為3個階段，其中包括使用密碼被盜或通過使用以前未發(fā)現(xiàn)的漏洞來訪問Exchange服務(wù)器，然后部署Web Shell來遠程控制受感染的服務(wù)器。攻擊鏈中的最后一個鏈接利用遠程訪問從組織網(wǎng)絡(luò)中竊取郵箱，并將收集到的數(shù)據(jù)導(dǎo)出到文件共享站點（例如MEGA）。

為了實現(xiàn)這一目標(biāo)，Volexity和Dubex的研究人員發(fā)現(xiàn)了多達4個0day漏洞，它們被用作攻擊鏈的一部分：

CVE-2021-26855：Exchange Server中的服務(wù)器端請求偽造（SSRF）漏洞；

CVE-2021-26857：統(tǒng)一消息服務(wù)中的不安全反序列化漏洞；

CVE-2021-26858：Exchange的身份驗證后，任意文件寫入漏洞；

CVE-2021-27065：Exchange的身份驗證后，任意文件寫入漏洞。

盡管這些漏洞會影響Microsoft Exchange Server 2013、Microsoft Exchange Server 2016和Microsoft Exchange Server 2019，但微軟表示，出于“深入防御”的目的，將要更新Exchange Server 2010。

此外，由于最初的攻擊需要與Exchange服務(wù)器端口443的不受信任連接，因此該公司指出，組織可以通過限制不受信任的連接或使用虛擬網(wǎng)絡(luò)將Exchange服務(wù)器與外部訪問隔離來緩解此問題。

微軟除了強調(diào)此次漏洞利用與SolarWinds相關(guān)的漏洞沒有關(guān)聯(lián)外，還表示已向有政府關(guān)機構(gòu)通報了新一波攻擊。但該公司沒有詳細說明有多少組織成為攻擊目標(biāo)，攻擊是否成功。

Volexity指出入侵活動大概始于2021年1月6日左右，并警告稱它已檢測到多個Microsoft Exchange漏洞在野外被積極利用，以用于竊取電子郵件和破壞網(wǎng)絡(luò)。

“雖然攻擊者最初為了盡可能的逃避監(jiān)測，似乎只是竊取了電子郵件，但他們最近轉(zhuǎn)而積極主動地發(fā)動攻擊以取得立足之地?！盫olexity的研究人員Josh Grunzweig、Matthew Meltzer、Sean Koessel、Steven Adair和Thomas Lancaster在一篇文章中解釋說。

除了補丁之外，微軟高級威脅情報分析師凱文·博蒙特還創(chuàng)建了一個nmap插件，該插件可用于掃描網(wǎng)絡(luò)以尋找潛在的易受攻擊的Microsoft Exchange服務(wù)器。

盡管往常一般在每個月的第二個星期二發(fā)布補丁，但考慮到這些漏洞的嚴重性，此次提前一周發(fā)布補丁也就不足為奇了。建議使用易受攻擊版本的Exchange Server客戶立即安裝更新，以阻止這些攻擊。

微軟公司客戶安全公司副總裁湯姆·伯特說：“盡管我們已經(jīng)迅速進行了應(yīng)對，以部署針對Hafnium漏洞的更新，但我們知道許多犯罪集團也將迅速采取行動，以在系統(tǒng)未打補丁前加以積極利用?！?/p>