代理Notshell、OWASSRF、Tabshell:立即修补微软交换服务器
![](http://www.yyueer.com/sites/default/files/images/articles/Blog-Research-CEA-General-Max-Quality_4.jpg)
微软交换服务器过去两年披露的若干缺陷继续是攻击者的宝贵利用,作为赎金软件的一部分,并有针对性地攻击尚未修复系统的组织。强烈建议修补下文概述的缺陷
后台
过去几年来,来自各行各业的威胁行为主体开始偏向微软交换服务器中发现的一系列漏洞。 微软交换服务器是全世界数万个组织使用的一个受欢迎邮件服务器。
移位自披露后开始代理Logon(CVE-2021-26855)及相关漏洞(CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)2021年3月脆弱点最初在野外零日被国家支持威胁行为方所利用HAFNIUM.
2021年8月 披露后另组交换服务器漏洞攻击者主动搜索脆弱交换服务器实例代理Logon和代理Shell在披露补丁后一年多继续开发
最近交换服务器错误
代理Notshell发布2022年9月无补丁,仅缓冲指导两个月
2022年9月底 GTSC网络安全技术有限公司的研究人员公开披露2个零日漏洞,统称2个零日漏洞ProxyNotShell (CVE-2022-41040, CVE-2022-41082).时微软两者都承认缺陷,但没有发布补丁.反之微软发布组织临时缓解指南阻塞开发直到补丁可用补丁代理Notshell11月8日发布一个月后公开披露这些缺陷
OWASSRF:研究者发现代理Notshell的缓冲旁路
2022年12月CrowdStrike研究发布细节新开发法绕过代理Notshell研究者判定为代理Notshell发布的缓冲指南仅停止通过微软交换服务器自动发现端点开发,仍然有可能通过OutlookWe访问端点远程代码执行通过使用使这一点成为可能CVE-2022-41080特权漏洞高位 微软11月补丁周二发布
表示那些不应用微软11月交换服务器补丁但自9月份应用减压指南的组织仍然易受OOSSSRF攻击
经确认报告Play和Cuba索要器集团OWASSRF弱点作为攻击的一部分自2022年11月
Tabshell:使用OWASSRF开发远程Powershell
Vietel安全研究者2022年12月底发布单独博客详细描述他们先前是如何发现OWASSRF并用链绑在一起并单设漏洞脆弱点识别CVE-2022-41076Powershell远程代码执行漏洞Dubed Tabshell研究者用两种漏洞破解Powershell沙盒并任意执行Powershellcmdlet可被滥用交换服务器在线特征所利用,允许用户使用远程Powershell连接交换服务器.公共验证概念提供, 一些研究者正想知道为什么它仍然“被低估”。
ExchangeTbshellRCEpoC(CVE-2022-41076)
Gangggg 2023年1月9日
复制poc校对:Portnoy博客文章)
仍然疑惑为什么这种脆弱度被低估xD
PoC脚本(拷贝粘贴目的):https://t.co/4jLfIxXkC3https://t.co/nHrJvpxqVn
六万多交换服务器仍然易受代理Notshell
2023年1月初 Shadowserver基金会研究者发现超过60,000无障碍交换服务器仍然易受代理Notshell.Exchange服务器实例尚未应用2022年11月补丁周二更新x_owa反转页眉
补丁行为显示脆弱交换服务器数目下降
2022年11月,作为补丁周二发布程序的一部分,可公开发布插件解决多交换服务器缺陷,包括代理Notshell和我们现在所知道的OWASSRF从客户库子集查看这些插件匿名扫描数据后, 从2022年11月至1月第一周发现, 脆弱交换服务器数目缓慢稳定下降, 适当数交换服务器仍然脆弱(见下图)。
![](http://www.yyueer.com/sites/default/files/images/blog/cc40bce2-0f39-497f-8df3-718511252435.png)
解决容易受OWASSRF影响的混淆
安全专业人员的一个混淆因素是如何判断他们的组织是否易受代理Notshell和OWASSRF的影响并整理出表格 概述缓冲补丁 并描述贵组织是否易缺陷
如何判断贵组织对代理Notshell和OWASSRF的脆弱性
servyNotshell系统应用了吗 | 应用11月补丁?应用 | 那么你的组织 |
---|---|---|
对 | 号 | 易使用OWASSRF |
号 | 号 | 易代理Notshell和OWASSRF |
号 | 对 | 不可转代理Notshell或OWASSRF |
对 | 对 | 不可转代理Notshell或OWASSRF |
攻击者通过微软交换服务器切入点
简言之,这里是微软交换服务器关键漏洞,过去两年中曾被用作各种攻击者切入点:
CVE系统 | 描述性 | 昵称 | 注解 |
---|---|---|---|
CVE-2021-26855 | 微软交换服务器端请求 | 代理 Logon | 可开发无认证 |
CVE-2021-34473 | 微软交换服务器远程代码执行漏洞 | 代理shell | 可开发无认证 |
CVE2021-34523 | 微软交换服务器特权脆弱性提升 | 代理shell | 可开发无认证 |
CVE-2021-3120 | 微软交换服务器安全特征旁路漏洞 | 代理shell | 验证需求 |
CVE-2022-41040 | 微软交换服务器特权脆弱性提升 | 代理Notshell | 验证需求 |
CVE-2022-41082 | 微软交换服务器远程代码执行漏洞 | 代理Notshell | 验证需求 |
CVE-2022-41080 | 微软交换服务器特权脆弱性提升 | OWASSRF系统 | 验证需求 |
请注意当博客文章发布于2023年1月31日时,
可接受审计交换服务器缓冲
可收受性研究审核团队发布审核文件供组织审核微软代理Notshell
![](http://www.yyueer.com/sites/default/files/images/blog/886aeada-a5af-4472-abe2-4b80de8cfe6d.png)
例失败目标 发现代理Notshell缓冲
提醒一下,如果2022年11月交换服务器补丁尚未应用,即使代理Notshell系统仍在使用,则组织仍然易受OWASSRF和代理Notshell开发链的影响
交换服务器缺陷仍然是2023年及以后攻击者的宝贵资产
基于对微软交换服务器的历史开发,我们主要关切的是,仍然有太多系统易受交换服务器缺陷影响,使它们成熟目标成为索要软件集团和国家主体开发对象。包括Exchange服务器在内的多产品遗留漏洞仍然受攻击者欢迎,
补丁交换服务器远非简单易行,但从长远看对组织大有裨益
识别受影响的系统
可租插件列表识别这些漏洞来.链接使用搜索滤波保证所有匹配插件发布时显示覆盖
获取更多信息
相关文章
- 曝光管理