警告：新的未调度的Microsoft Exchange Zero Day正在受到攻击

安全研究人员警告说，在真实世界的攻击中，恶意攻击者利用完全修补的Microsoft Exchange服务器中先前未公开的漏洞，在受影响的系统上实现远程代码执行。

该建议来自越南网络安全公司GTSC，该公司于2022年8月在其安全监测和事件响应工作中发现了这些缺陷。

这两个漏洞尚未正式分配CVE标识符，零日计划正在跟踪这些漏洞ZDI-CAN-18333（CVSS评分：8.8）和ZDI-CAN-18802（CVSS评分：6.3）。

GTSC表示，成功利用漏洞可能会被滥用，以在受害者的系统中站稳脚跟，使对手能够投掷网络外壳并在受损网络中进行横向移动。

该公司指出：“我们检测到，大部分是模糊的web外壳被丢弃到Exchange服务器。”。“通过使用用户代理，我们检测到攻击者使用了Antsword，这是一个基于中文的开放源代码跨平台网站管理工具，支持web shell管理。”

IIS日志中的利用请求据说以与ProxyShell Exchange Server漏洞相同的格式出现，GTSC指出，针对2021年4月暴露出来的漏洞，目标服务器已经打了补丁。

这家网络安全公司推测，由于网页外壳的简体中文编码（Windows代码第936页），这些攻击很可能来自中国黑客集团。

攻击中还部署了中国斩波网络外壳，这是一个轻量级后门，可以授予持久的远程访问权限，并允许攻击者随时重新连接以进行进一步攻击。

值得注意的是，去年ProxyLogon漏洞遭到广泛利用时，中国斩龙网络外壳也被怀疑是在中国境外运营的国家赞助组织Hafnium部署。

GTSC观察到的进一步的攻击后活动包括将恶意DLL注入内存，使用WMI命令行（WMIC）实用程序在受感染的服务器上删除和执行额外的有效负载。

该公司表示，至少不止一个组织是利用零日漏洞进行攻击活动的受害者。由于受到了积极的攻击，关于这些漏洞的更多细节被隐瞒了。

我们已联系微软寻求进一步的评论，如果我们得到回复，我们将更新报道。

在此期间，作为临时解决方案，建议使用IIS服务器的“URL重写规则”模块添加一条规则，以阻止具有妥协迹象的请求-

• 在前端自动发现中，选择“URL重写”选项卡，然后选择“请求阻止”
• 将字符串“.*autodiscover\.json.*\@.*Powershell.*”添加到URL路径，然后
• 条件输入：选择｛REQUEST_URI｝

安全研究员凯文·博蒙特（Kevin Beaumont）在一系列推文中表示：“我可以确认，大量的Exchange服务器都被后门了，包括一个蜜罐。”他补充道，“这看起来又像是代理到管理界面的一种变体。”

Beaumont说：“如果你不在本地运行Microsoft Exchange，也没有面向互联网的Outlook Web App，你就不会受到影响”。

更新：微软已经正式确认了这两个缺陷的细节，并补充称正在努力发布一个修复程序。更多详情请点击此处。