ProxyShell:攻击者积极扫描脆弱的Microsoft Exchange服务器(cve - 2021 - 34473)

三个漏洞DEVCORE研究员橙色蔡可以链接实现未经身份验证的远程代码执行。攻击者正在寻找利用脆弱的实例。

8月23日更新:分析部分已经更新,利用这个漏洞的信息链。组织应该立即更新。

背景

上周在美国黑帽和DEF CON安全会议,DEVCORE研究员橙色蔡介绍演讲题为“ProxyLogon只是冰山一角:Microsoft Exchange服务器上的一个新的攻击表面!“在他的黑帽子的演讲中,他走过三个漏洞在Microsoft Exchange服务器:

CVE	描述	CVSSv3	冲程体积*
cve - 2021 - 34473	微软Exchange服务器远程代码执行漏洞	9.1	9
cve - 2021 - 34523	微软Exchange服务器的特权的脆弱性	9.0	8.4
cve - 2021 - 31207	微软Exchange服务器安全特性绕过漏洞	6.6	8.4

来源:成立,2021年8月

*请注意:站得住脚的脆弱性优先级评级(冲程体积)的分数计算。这篇文章发表在8月9日,反映了当时冲程体积。

橙色蔡安全性漏洞是一个多产的研究人员已经发现了许多在范围广泛的产品。最相关的是cve - 2021 - 26855,又名ProxyLogon蔡公布1月微软(Volexity和微软威胁情报中心收到信用发现这个漏洞)。尽管如此,ProxyLogon利用零日威胁集团铪演员和其他先进的持续威胁。即使微软发布了一个带外ProxyLogon补丁,它仍然是被威胁利用演员为各种类型的攻击从cryptomining ransomware和创建僵尸网络。

分析

cve - 2021 - 34473是一个远程代码执行漏洞和评价最高,接收CVSSv3得分为9.1。cve - 2021 - 34523和cve - 2021 - 31207都是最初被评为“剥削不可能”微软的可利用性指数因为他们的独立特性,但是当链接在一起,他们有攻击者重要的价值。通过链接这些漏洞,攻击者可以执行任意命令在脆弱的交换服务器在端口443上。两三个ProxyShell漏洞,cve - 2021 - 34473和cve - 34523, 2021年4月被修补的周二发布补丁,尽管微软说他们“无意中省略”安全更新指南。cve - 2021 - 31207是打补丁。

攻击者正在积极寻找容易ProxyShell交换服务器

8月6日安全研究员凯文·博蒙特报告试图利用这个漏洞链在野外。

我的交换蜜罐有人删除文件和执行命令。https://t.co/pMVsl7y4iy

——凯文·博蒙特(@GossiTheDog)2021年8月6日,

在接下来的几天里,几个计算机安全应急响应小组发布警报关于攻击者扫描对于脆弱的Microsoft Exchange服务器。因为广泛利用ProxyLogon和其他Exchange服务器漏洞今年到目前为止,我们建议立即组织补丁。攻击者已经发现脆弱的服务器开发和它可能是审慎的启动事件响应程序如果你知道你修改服务器在您的网络。

中钢协要求组织补丁服务器

根据赛门铁克的威胁猎人团队和女猎人实验室,攻击者继续扫描,利用脆弱的Microsoft Exchange服务器使用这种攻击链部署LockFile ransomware。赛门铁克也报道了PetitPotam利用用于这些攻击获得域控制器,从而传播ransomware在目标网络。

作为回应,网络安全和基础设施安全机构发布了紧急警报敦促组织识别和纠正脆弱的服务器。

概念验证

蔡上周演讲后,另外两个研究人员发表了他们的繁殖蔡的工作包括更多技术细节如何利用漏洞链。研究人员之一,张成泽,也出版了一本今年早些时候ProxyLogon概念验证。

供应商反应

微软已经修补这些漏洞在4月和5月周二发布补丁。cve - 2021 - 34473和cve - 2021 - 34523在2021年4月已经修补,但微软才发布报告7月。

确定影响系统

站得住脚的插件的列表来确定这些漏洞可以被发现在这里。

获得更多的信息

• 站得住脚的博客:找到Proxylogon和相关Microsoft Exchange漏洞:如何站得住脚的帮助
• 橙色蔡的defcon大会演讲
• PeterJson和张成泽的利用媒介繁殖

加入站不住脚的安全响应团队站得住脚的社区。

了解更多关于站得住脚的,第一个网络曝光平台整体管理的现代攻击表面。

得到一个天的免费试用站得住脚的。io脆弱性管理。