警告：Microsoft Exchange受到ProxyShell漏洞的攻击

美国网络安全和基础设施安全局警告称，可能会有人利用最新的ProxyShell“今年5月早些时候修补的Microsoft Exchange漏洞，包括在受损系统上部署LockFile勒索软件。

这些漏洞被追踪为CVE-2021-34473、CVE-2021-34523和CVE-2021-31207，使对手能够绕过ACL控制，提升Exchange PowerShell后端的权限，有效地允许攻击者执行未经验证的远程代码执行。虽然微软在4月13日解决了前两个问题，但CVE-2021-31207的补丁已作为微软5月份补丁周二更新的一部分发布。

“攻击者利用这些漏洞可以在易受攻击的机器上执行任意代码，”CISA说。

一周多前，网络安全研究人员敲响警钟，利用ProxyShell攻击链对未打补丁的Exchange服务器进行机会主义扫描和利用。

图片来源：亨特雷斯实验室

ProxyShell最初是在今年4月的Pwn2Own黑客竞赛上展示的，它是DEVCORE安全研究人员Orange Tsai发现的更广泛的三个漏洞链的一部分，其中包括ProxyLogon和ProxyOracle，后者涉及两个远程代码执行缺陷，可用于以明文格式恢复用户密码。

研究人员凯文·博蒙特（Kevin Beaumont）上周指出：“它们是一个后门盒子，里面有可以丢弃其他WebShell的WebShell，也有可以定期调用的可执行程序。”。

现在，据亨特莱斯实验室的研究人员称，在部署到易受攻击的Microsoft Exchange服务器上时，至少观察到五种不同类型的网络外壳，据报道，在8月17日至18日期间，有100多起事件与该漏洞有关。Web Shell允许攻击者远程访问受损的服务器，但目前尚不清楚目标是什么，也不清楚所有缺陷的使用程度。

Huntess Labs首席执行官凯尔·汉斯洛万（Kyle Hanslovan）在推特上写道，迄今为止，在不少于1900台未打补丁的交换机服务器上检测到了140多个网络外壳。他补充说，“迄今为止，受影响的[组织]包括建筑制造业、海鲜加工商、工业机械、汽车修理厂、一个小型住宅机场等。”