DHS警告:Microsoft Exchange服务器漏洞正被APT黑客利用
DHS警告称,多个APT黑客组织正在积极利用未打补丁的Microsoft Exchange服务器漏洞。如果成功,则攻击者可以使用高级特权远程安装代码。
DHS警告称,多个APT黑客组织正在积极利用未打补丁的Microsoft Exchange服务器漏洞。如果成功,则攻击者可以使用高级特权远程安装代码。
Microsoft Exchange服务器中发现的一个严重漏洞正被多个APT黑客组织积极利用。根据美国国土安全部网络安全和基础设施安全局的警报,只要成功破解未打补丁的系统,攻击者就可以获得远程访问权限。
美国国家安全局建议各组织查看Microsoft的针对性指南以缓解该漏洞的潜在危害。
该漏洞名为CVE-2020-0688,在Exchange邮件和日历服务器控制面板中被发现。服务器在安装时无法正确创建唯一密钥。微软警告说,有了验证密钥,以邮箱通过身份验证的用户可以传递“由Web应用程序反序列化的任意对象,该Web应用程序以SYSTEM身份运行”。
研究人员警告说,该漏洞对于黑客来说是一个有吸引力的目标,因为它可以使他们控制受影响的系统。微软在二月份发布了针对该漏洞的补丁程序,但攻击者仍在积极针对未打补丁的系统。
Volexity研究人员最近分享了对这些攻击的见解,他们发现,只需满足三个条件,黑客就可以成功利用该漏洞,条件包括漏洞修补失败、攻击者访问Exchange控制面板界面。
最后,如果黑客获得工作凭证,就能够访问受影响的控制面板,并从经过身份验证的session cookie中收集ViewStateKey,并从页面源内的隐藏字段中收集__VIEWSTATEGENERATOR值。”
研究人员指出:“攻击者利用的凭证无需具有很高的特权或具有ECP访问权限。在某些情况下,攻击者似乎一直在等待机会,用原本没有用的凭据进行攻击。”
研究人员还表示:“许多组织采用两因素身份验证(2FA)来保护其VPN、电子邮件等,从而限制了攻击者利用被泄露密码进行攻击的一些行为。此漏洞使攻击者能够使用简单的用户凭据或陈旧的服务帐户来访问组织中的重要资产。”
对于Volexity而言,该事件使人们发觉还是需要更完美的密码管理策略,比如即便使用2FA也要定期更改登录凭据。
目前,成功利用此漏洞的黑客可以运行系统命令进行侦察,通过Microsoft Outlook on Web(OWA)部署webshell后门,并执行内存中的开发后框架。
Volexity研究人员还检测到多个APT黑客组织在Exchange Web 服务器上使用蛮力凭据,似乎是为了利用漏洞而做出的努力。
研究人员警告说:“虽然使用蛮力凭据的情况经常出现,但某些组织的攻击频率和强度在漏洞披露后急剧增加。”
他们补充说:“ Volexity认为,这些努力应来自已知的APT组,因为与其他攻击的IP地址重叠,并且在某些情况下,只有以前有过违规行为才知道这些凭据的目标,”
如果被利用,组织可以通过多种方式检测到违规。IT负责人可以参考Volexity建议的步骤,通过Exchange服务器异常日志,应用程序事件日志,Web目录和其他服务来监视威胁。
为缓解此问题,各组织可以应用Microsoft在2月提供的补丁。此外,各组织应在IIS中的ECP虚拟目录上实施访问控制列表(ACL)限制,并且打开Web应用程序防火墙功能。
如果没有特别需要,也不应直接访问ECP目录。在理想情况下,这将使从Internet来的访问被禁用,或限制组织内部的IP访问。
最后,强烈建议组织“将现有密码设置为过期”,并要求定期更新密码。研究人员经常观察到使用旧密码而导致的严重数据泄露事件。并且应该禁用不再需要的或过去90天内未登录的帐户。
研究人员提到:
值得注意的是2FA有机会成功阻止攻击,因为攻击者可能无法获取利用此漏洞所需的数据。此漏洞强调了这样一种情况,即组织在被锁定,并正确部署2FA时,仍有可能由于过时或弱密码而发生意外。
保持补丁最新是组织的最佳防御方式。如果没有更新,蠢蠢欲动的攻击者现在可以利用它来破坏IT基础结构的关键部分。如果还没有,请立即应用这些安全更新,并寻找损害的迹象。
参考及来源:https://healthitsecurity.com/news/dhs-warns-apt-attackers-exploiting-microsoft-exchange-server-flaw? ... e19cc69&elqaid=14375&elqat=1&elqCampaignId=13731
Microsoft Exchange服务器中发现的一个严重漏洞正被多个APT黑客组织积极利用。根据美国国土安全部网络安全和基础设施安全局的警报,只要成功破解未打补丁的系统,攻击者就可以获得远程访问权限。
美国国家安全局建议各组织查看Microsoft的针对性指南以缓解该漏洞的潜在危害。
该漏洞名为CVE-2020-0688,在Exchange邮件和日历服务器控制面板中被发现。服务器在安装时无法正确创建唯一密钥。微软警告说,有了验证密钥,以邮箱通过身份验证的用户可以传递“由Web应用程序反序列化的任意对象,该Web应用程序以SYSTEM身份运行”。
研究人员警告说,该漏洞对于黑客来说是一个有吸引力的目标,因为它可以使他们控制受影响的系统。微软在二月份发布了针对该漏洞的补丁程序,但攻击者仍在积极针对未打补丁的系统。
Volexity研究人员最近分享了对这些攻击的见解,他们发现,只需满足三个条件,黑客就可以成功利用该漏洞,条件包括漏洞修补失败、攻击者访问Exchange控制面板界面。
最后,如果黑客获得工作凭证,就能够访问受影响的控制面板,并从经过身份验证的session cookie中收集ViewStateKey,并从页面源内的隐藏字段中收集__VIEWSTATEGENERATOR值。”
研究人员指出:“攻击者利用的凭证无需具有很高的特权或具有ECP访问权限。在某些情况下,攻击者似乎一直在等待机会,用原本没有用的凭据进行攻击。”
研究人员还表示:“许多组织采用两因素身份验证(2FA)来保护其VPN、电子邮件等,从而限制了攻击者利用被泄露密码进行攻击的一些行为。此漏洞使攻击者能够使用简单的用户凭据或陈旧的服务帐户来访问组织中的重要资产。”
对于Volexity而言,该事件使人们发觉还是需要更完美的密码管理策略,比如即便使用2FA也要定期更改登录凭据。
目前,成功利用此漏洞的黑客可以运行系统命令进行侦察,通过Microsoft Outlook on Web(OWA)部署webshell后门,并执行内存中的开发后框架。
Volexity研究人员还检测到多个APT黑客组织在Exchange Web 服务器上使用蛮力凭据,似乎是为了利用漏洞而做出的努力。
研究人员警告说:“虽然使用蛮力凭据的情况经常出现,但某些组织的攻击频率和强度在漏洞披露后急剧增加。”
他们补充说:“ Volexity认为,这些努力应来自已知的APT组,因为与其他攻击的IP地址重叠,并且在某些情况下,只有以前有过违规行为才知道这些凭据的目标,”
如果被利用,组织可以通过多种方式检测到违规。IT负责人可以参考Volexity建议的步骤,通过Exchange服务器异常日志,应用程序事件日志,Web目录和其他服务来监视威胁。
为缓解此问题,各组织可以应用Microsoft在2月提供的补丁。此外,各组织应在IIS中的ECP虚拟目录上实施访问控制列表(ACL)限制,并且打开Web应用程序防火墙功能。
如果没有特别需要,也不应直接访问ECP目录。在理想情况下,这将使从Internet来的访问被禁用,或限制组织内部的IP访问。
最后,强烈建议组织“将现有密码设置为过期”,并要求定期更新密码。研究人员经常观察到使用旧密码而导致的严重数据泄露事件。并且应该禁用不再需要的或过去90天内未登录的帐户。
研究人员提到:
值得注意的是2FA有机会成功阻止攻击,因为攻击者可能无法获取利用此漏洞所需的数据。此漏洞强调了这样一种情况,即组织在被锁定,并正确部署2FA时,仍有可能由于过时或弱密码而发生意外。
保持补丁最新是组织的最佳防御方式。如果没有更新,蠢蠢欲动的攻击者现在可以利用它来破坏IT基础结构的关键部分。如果还没有,请立即应用这些安全更新,并寻找损害的迹象。
参考及来源:https://healthitsecurity.com/news/dhs-warns-apt-attackers-exploiting-microsoft-exchange-server-flaw? ... e19cc69&elqaid=14375&elqat=1&elqCampaignId=13731
关于作者
评论0次