国家赞助的黑客可能在0天内利用MS Exchange攻击~10个组织

微软周五披露，2022年8月，一个活动组通过将两个新披露的零日漏洞链接在一组针对全球不到10个组织的有限攻击中，实现了初始访问并突破了Exchange服务器。

微软威胁情报中心（MSTIC）在一份新的分析报告中表示：“这些攻击安装了Chopper网络外壳，以方便用户使用键盘进行访问，攻击者利用键盘进行Active Directory侦察和数据过滤”。

微软进一步警告称，由于“Exchange系统赋予攻击者高度特权的访问权限”，恶意攻击者将利用漏洞的行为纳入其工具包，包括部署勒索软件，因此这些漏洞的武器化预计将在未来几天加速。

这家科技巨头以中等可信度将正在进行的攻击归咎于一个国家资助的组织，并补充说，当零日行动在上个月早些时候(2022年9月8日至9日)向微软安全响应中心(MSRC)披露这些漏洞时，该公司已经在调查这些攻击。

这两个漏洞被统称为代理NotShell，这是因为“它与ProxyShell是相同的路径和SSRF/RCE对”，但具有身份验证，这表明修补程序不完整。

下面列出了为实现远程代码执行而串在一起的问题：

• 简历-2022-41040（CVSS得分：8.8）-Microsoft Exchange Server提升权限漏洞
• 简历-2022-41082（CVSS得分：8.8）-Microsoft Exchange Server远程代码执行漏洞

“虽然这些漏洞需要身份验证，但攻击所需的身份验证可以是标准用户的身份验证，”微软表示。“标准用户凭证可以通过多种不同的攻击获取，例如密码喷射或通过网络犯罪经济购买。”

这些漏洞是越南网络安全公司GTSC在2022年8月首次发现的，这是其针对一名未具名客户的事件响应工作的一部分。一名中国威胁行为人被怀疑是入侵的幕后黑手。

美国网络安全和基础设施安全局(CISA)将两个微软Exchange服务器零日漏洞添加到其已知利用漏洞(KEV)目录中，要求联邦机构在2022年10月21日之前应用补丁。

微软表示，它正在制定一个“加速时间表”，以发布缺陷的修复方案。它还发布了以下URL重写缓解步骤的脚本，称其“成功地打破了当前的攻击链”：

• 打开IIS管理器
• 选择默认网站
• 在功能视图中，单击URL重写
• In the Actions pane on the right-hand side, click Add Rule(s)…
• 选择请求阻止并单击确定
• 添加字符串“.*autodiscover\.json.*\@.*Powershell.*”（不包括引号）
• 在“使用”下选择正则表达式
• 在“如何阻止”下选择“中止请求”，然后单击“确定”
• 展开规则并选择带有模式.*autodiscover\.json.*\@.*Powershell.*的规则然后单击“条件”下的“编辑”。
• 将条件输入从｛URL｝更改为｛REQUEST_URI｝

作为额外的预防措施，该公司敦促各公司实施多因素身份验证（MFA），禁用传统身份验证，并教育用户不要接受意外的双因素身份验证提示。

Qualys负责恶意软件威胁研究的副总裁Travis Smith告诉《黑客新闻》：“微软Exchange是威胁行为者利用的一个有价值的目标，主要原因有两个”。

“首先，Exchange[…]直接连接到互联网会造成一个可以从世界任何地方访问的攻击面，从而大大增加了其被攻击的风险。其次，Exchange是一项关键任务功能——组织不能只拔掉或关闭电子邮件，而不会对其业务造成负面影响”。