积极利用Microsoft Exchange中发现的0天缺陷

微软发布了紧急补丁，以解决Exchange Server中四个之前未公开的安全漏洞。微软表示，一家新的中国国家资助的威胁行为人正在积极利用这些漏洞，目的是实施数据盗窃。

微软威胁情报中心（Microsoft Threat Intelligence Center，MSTIC）将这些攻击描述为“有限且有针对性的”，称对手利用这些漏洞访问本地Exchange服务器，进而允许访问电子邮件帐户，并为安装额外的恶意软件铺平道路，以便于长期访问受害者环境。

这家科技巨头主要高度自信地将此次行动归因于一个被称为“铪”的威胁行为体，这是一个在中国境外活动的国家资助的黑客集体，但它怀疑其他团体也可能参与其中。

在首次讨论该集团的战术、技术和程序（TTP）时，微软将铪描绘成一个“技术娴熟、经验丰富的参与者”，主要挑出美国的实体从一系列行业部门过滤敏感信息，包括传染病研究人员、律师事务所、，高等教育机构、国防承包商、政策智库和非政府组织。

据信，HAFNIUM利用美国租用的虚拟专用服务器策划了攻击，试图掩盖其恶意活动。

该三阶段攻击涉及使用被盗密码或使用以前未发现的漏洞访问Exchange服务器，然后部署web外壳远程控制受损服务器。攻击链中的最后一个环节利用远程访问从组织的网络中掠夺邮箱，并将收集到的数据导出到MEGA等文件共享网站。

To achieve this, as many as four zero-day vulnerabilities discovered by researchers from Volexity and Dubex are used as part of the attack chain —

• CVE-2021-26855:Exchange server中的服务器端请求伪造（SSRF）漏洞
• CVE-2021-26857：统一消息服务中的一个不安全反序列化漏洞
• CVE-2021-26858:Exchange中的身份验证后任意文件写入漏洞，以及
• CVE-2021-27065:Exchange中的身份验证后任意文件写入漏洞

尽管这些漏洞影响了Microsoft Exchange Server 2013、Microsoft Exchange Server 2016和Microsoft Exchange Server 2019，但微软表示，出于“纵深防御”目的，正在更新Exchange Server 2010。

此外，由于最初的攻击需要到Exchange server端口443的不受信任连接，该公司指出，组织可以通过限制不受信任的连接或使用VPN将Exchange server与外部访问分离来缓解该问题。

微软除了强调这些攻击与太阳风相关的违规行为无关外，还表示已向相关美国政府机构通报了新一波攻击。但该公司没有详细说明有多少组织成为袭击目标，以及袭击是否成功。

在2021年1月6日左右，入侵活动似乎已经开始了，VosiTead警告说，它已经发现了活跃在开发利用多个微软交换漏洞用于窃取电子邮件和折衷网络。

Volexity的研究人员乔希·格伦兹韦格、马修·梅尔策、肖恩·科塞尔、史蒂文·阿代尔和托马斯·兰卡斯特在一篇评论文章中解释说：“虽然攻击者最初似乎只是通过窃取电子邮件在雷达下飞行，但他们最近转而利用漏洞来获得立足点。”。

“从Volexity的角度来看，这种攻击似乎涉及多个运营商，他们使用各种工具和方法来转储凭证、横向移动和进一步的后门系统。”

除了这些补丁之外，微软高级威胁情报分析师凯文·博蒙特（Kevin Beaumont）还创建了一个nmap插件，可用于扫描网络中可能存在漏洞的微软Exchange服务器。

考虑到缺陷的严重性，补丁比公司的补丁周二计划提前一周发布也就不足为奇了，该计划通常保留在每个月的第二个周二。建议使用易受攻击的Exchange Server版本的客户立即安装更新，以阻止这些攻击。

微软公司负责客户安全的副总裁汤姆·伯特说：“尽管我们已经迅速部署了铪漏洞的更新，但我们知道，许多民族国家行为者和犯罪集团将迅速采取行动，利用任何未修补的系统。”。“及时应用今天的补丁是抵御这种攻击的最佳保护措施。