ProxyLogon PoC漏洞被释放；可能会引发更具破坏性的网络攻击

美国网络安全和基础设施安全局（CISA）和联邦调查局（FBI）周三发布联合咨询警告，称民族国家行为者和网络犯罪分子正在积极利用Microsoft Exchange内部部署产品中的漏洞。

这些机构表示：“CISA和FBI评估，对手可能利用这些漏洞破坏网络、窃取信息、加密数据以获取赎金，甚至实施破坏性攻击。”。“对手也可能出售对黑暗网络上受损网络的访问权。”

袭击主要针对地方政府、学术机构、非政府组织和各个行业的商业实体，包括农业、生物技术、航空航天、国防、法律服务、电力设施和制药，这些机构表示，这与中国网络参与者之前的活动是一致的。

据信，包括欧洲银行管理局（European Banking Authority）和挪威议会（Norwegian Parliament）在内的数万家实体已被入侵，安装了一个名为“中国斩波器网络外壳”（China Chopper web shell）的网络后门，使攻击者能够窃取电子邮件收件箱并远程访问目标系统。

这一发展是鉴于针对易受攻击的Exchange服务器的攻击迅速扩大，早在2月27日，多个威胁参与者就开始利用这些漏洞，直到上周微软最终修补了这些漏洞，迅速将被贴上“有限且有针对性”标签的东西转变为不分青红皂白的大规模剥削运动。

虽然没有具体的解释来解释这么多不同群体的广泛利用，但猜测是对手共享或出售了利用代码，导致其他群体能够滥用这些漏洞，或者这些群体从一个共同的卖家那里获得了利用。

从RCE到网络外壳再到植入物

在2021年3月2日，VuleStices公开披露了多个零日漏洞的检测，用于针对微软Exchange服务器的本地版本中的漏洞，而最早在2021年1月3日的野生开发活动中钉住。

成功地将这些缺陷（称为ProxyLogon）武器化后，攻击者可以访问受害者的Exchange服务器，从而获得对企业网络的持久系统访问和控制。

尽管微软最初将入侵锁定在Hafnium上，该威胁组织被评估为国家赞助，在中国境外运营，斯洛伐克网络安全公司ESET周三表示，他们发现了不少于10个不同的威胁参与者，他们可能利用远程代码执行漏洞在受害者的电子邮件服务器上安装恶意植入物。

除了铪，在补丁发布之前被检测到利用漏洞的五个群体是Tick、LuckyMouse、Calypso、Websiic和Winnti（又名APT41或Baba），在补丁发布后的几天里，其他五家公司（Tonto团队、ShadowPad、“Opera”Cobalt Strike、Mikroceen和DLTMiner）扫描并破坏Exchange服务器。

到目前为止，还没有确凿的证据表明该活动与中国有关，但域名工具公司的高级安全研究员乔·斯洛维克指出，上述几个团体以前与中国赞助的活动有关，包括Tick、LuckyMouse、Calypso、Tonto Team、Mikroceen和Winnti Group，表明除铪以外的中国实体与外汇开采活动有关。

Palo Alto Networks的第42单元说：“很明显，有许多群体利用这些漏洞，这些群体正在使用大规模扫描或服务，使他们能够独立地针对相同的系统，最后还有多种不同的代码被删除，这可能表明攻击的迭代。”威胁情报小组说。

在美国红金丝雀研究人员追踪到的一组“蓝宝石鸽子”中，攻击者在不同时间向一些受害者投掷了多枚网络炮弹，其中一些炮弹是在他们进行后续活动前几天部署的。

根据ESET的遥测分析，据称来自115多个国家的企业和政府的5000多个电子邮件服务器受到与该事件有关的恶意活动的影响。荷兰漏洞披露研究所（DIVD）周二报告称，在全球26万台服务器中，发现有4.6万台服务器未修补受到严重攻击的ProxyLogon漏洞。

令人不安的是，有证据表明，在3月2日补丁可用后，web Shell的部署急剧增加，这增加了其他实体机会主义地加入进来的可能性，通过反向工程Microsoft更新创建漏洞，作为多个独立活动的一部分。

ESET研究员Matthieu Faou说：“在补丁发布后的第二天，我们开始观察到更多的威胁参与者大规模扫描和破坏Exchange服务器。”。“有趣的是，除了一个似乎与已知的硬币开采活动（DLTminer）有关的异常值外，他们都是专注于间谍活动的APT团体。目前尚不清楚该漏洞是如何传播的，但不可避免的是，越来越多的威胁参与者，包括勒索软件运营商，迟早会接触到它。”

除了安装web shell之外，与铪活动相关或受其启发的其他行为还包括通过部署批处理脚本在受害者环境中进行侦察，这些脚本自动执行多个功能，如帐户枚举、凭证获取和网络发现。

提供概念的公开证明

使情况进一步复杂化的是，尽管过去几天微软试图取缔GitHub上发布的漏洞，但ProxyLogon漏洞的第一个功能性公开概念验证（PoC）漏洞仍然可用。

安全研究员马库斯·哈钦斯（Marcus Hutchins）说：“我已经确认，整个RCE漏洞链中都有一个公共PoC。”。“它有几个bug，但通过一些修复，我可以在测试盒上安装shell。”

PoC的发布还伴随着Praetorian研究人员的详细技术报告，他们对CVE-2021-26855进行了反向工程，通过识别易受攻击版本和修补版本之间的差异，构建一个功能完整的端到端漏洞利用。

虽然研究人员故意决定省略关键的PoC组件，但这一发展也引发了人们的担忧，即技术信息可能会进一步加速开发有效的漏洞，进而触发更多的威胁参与者发起自己的攻击。

As the sprawling hack's timeline slowly crystallizes, what's clear is that the surge of breaches against Exchange Server appears to have happened in two phases, with Hafnium using the chain of vulnerabilities to stealthily attack targets in a limited fashion, before other hackers began driving the frenzied scanning activity starting February 27.

网络安全记者布莱恩·克雷布斯（Brian Krebs）将此归因于“不同的网络犯罪组织不知何故得知微软计划比他们希望的早一周发布针对Exchange漏洞的修复程序。”

斯洛维克说：“缓解微软披露的漏洞的最佳建议是应用相关补丁。”。“然而，考虑到对手将这些漏洞武器化的速度，以及这些漏洞被积极利用时的大量预披露时间，许多组织可能需要转向响应和补救活动，以应对现有的入侵。”