微软周四晚间证实|微软证实exchange应用程序中存在两个严重漏洞微软周四晚间证实

文章图片
微软周四晚间证实，其Exchange应用程序中存在两个严重漏洞，这些漏洞已经危及多台服务器，并对全球约22万台服务器构成严重风险。 #Windows#

文章图片
目前未修补的安全漏洞自8月初以来一直受到利用，当时总部位于越南的安全公司GTSC发现客户网络已感染恶意webshell ，并且最初的入口点是某种Exchange漏洞。这个神秘的漏洞利用看起来与2021年称为ProxyShell的Exchange零日漏洞几乎相同，但客户的服务器都已针对该漏洞进行了修补，该漏洞被跟踪为CVE-2021-34473 。最终，研究人员发现未知黑客正在利用新的Exchange漏洞。

文章图片
Webshell、后门和虚假网站
研究人员称：“在成功掌握了该漏洞之后，我们记录了攻击以收集信息并在受害者系统中建立立足点。攻击团队还使用各种技术在受影响的系统上创建后门，并对系统中的其他服务器进行横向移动。 ”

文章图片
周四晚上，微软证实这些漏洞是新的，并表示正在努力开发补丁。新漏洞是：CVE-2022-41040 ，一个服务器端请求伪造漏洞，以及CVE-2022-41082 ，当攻击者可以访问PowerShell时，它允许远程执行代码。
微软安全响应中心称：“目前，微软意识到利用这两个漏洞进入用户系统的针对性攻击有限。在这些攻击中， CVE-2022-41040可以使经过身份验证的攻击者远程触发CVE-2022-41082 。 “另外，成功的攻击需要服务器上至少一个电子邮件用户的有效凭据。

文章图片
该漏洞影响本地Exchange服务器，严格来说，不影响Microsoft托管的Exchange服务。需要注意的是，许多使用微软云产品的组织选择混合使用本地和云硬件的选项。这些混合环境与独立的本地环境一样容易受到攻击。
在Shodan上的搜索表明，目前有超过20万台本地Exchange服务器暴露在Internet上，并且有超过1,000种混合配置。

文章图片
【微软周四晚间证实|微软证实exchange应用程序中存在两个严重漏洞】周三的GTSC帖子称，攻击者正在利用零日漏洞通过webshell感染服务器， webshell是一个允许他们发出命令的文本界面。威胁参与者最终安装的恶意软件模拟了微软的ExchangeWeb服务。它还与IP地址137[.]184[.]67[.]33建立连接，该地址在二进制文件中硬编码。研究员表示，该地址托管了一个虚假网站，只有一个用户登录一分钟，并且自8月以来一直处于活跃状态。

文章图片
恶意软件发送和接收使用运行时生成的RC4加密密钥加密的数据。
运行本地Exchange服务器的人员应立即采取行动。具体来说，应该应用阻止规则来阻止服务器接受已知的攻击模式。可以通过转到“IIS管理器->默认网站->URL重写->操作”来应用该规则。目前，微软还建议人们阻止HTTP端口5985和HTTPS端口5986 ，攻击者需要利用这些端口来利用CVE-2022-41082 。