黑客正在积极搜索未修补的Microsoft Exchange服务器

威胁参与者正在积极利用一个新的利用链，利用影响本地安装的三个缺陷，对Exchange服务器进行机会主义扫描和利用，使其成为今年年初ProxyLogon漏洞被大规模利用后的最新一组缺陷。

远程代码执行缺陷被统称为“ProxyShell”根据SANS互联网风暴中心的Jan Kopriva进行的Shodan扫描，至少有30000台机器受到这些漏洞的影响。

NCC Group的理查德·沃伦（Richard Warren）在推特上写道：“开始看到针对我们的蜜罐基础设施的各种攻击尝试，以发现Exchange ProxyShell漏洞。”他指出，其中一次入侵导致在/aspnet_client/目录中部署了一个“C#aspx webshell”

在2021年3月初补丁，PROXYLogon是CVE-2021-26855的绰号，服务器端请求伪造漏洞在Exchange服务器中，允许攻击者作为管理员管理易受攻击的服务器，并且可以与另一个后认证任意文件写入漏洞CVE-2021-7065链接，实现代码执行。

微软在北京发起的一次黑客行动中泄露了秘密，利用这些漏洞攻击美国实体，目的是在该公司称之为有限且有针对性的攻击中过滤信息，这些漏洞被曝光。

此后，这家Windows制造商又修复了其邮件服务器组件中的六个漏洞，其中两个被称为ProxyOracle，它使对手能够以明文格式恢复用户的密码。

其他三个问题—；被称为ProxyShell—；可能被滥用以绕过ACL控制、提升Exchange PowerShell后端的权限、有效验证攻击者并允许远程代码执行。微软指出，直到7月，CVE-2021-34473和CVE-2021-34523才被无意中从出版物中删除。

ProxyLogon：

• CVE-2021-26855-Microsoft Exchange Server远程代码执行漏洞（3月2日修补）
• CVE-2021-26857-Microsoft Exchange Server远程代码执行漏洞（3月2日修补）
• CVE-2021-26858-Microsoft Exchange Server远程代码执行漏洞（3月2日修补）
• CVE-2021-27065-Microsoft Exchange Server远程代码执行漏洞（3月2日修补）

ProxyOracle：

• CVE-2021-31195-Microsoft Exchange Server远程代码执行漏洞（5月11日修补）
• CVE-2021-31196-Microsoft Exchange Server远程代码执行漏洞（7月13日修补）

ProxyShell：

• CVE-2021-31207-Microsoft Exchange Server安全功能绕过漏洞（5月11日修补）
• CVE-2021-34473-Microsoft Exchange Server远程代码执行漏洞（4月13日修补，7月13日发布公告）
• CVE-2021-34523-Microsoft Exchange Server提升权限漏洞（4月13日修补，7月13日发布公告）

其他：

• CVE-2021-33768-Microsoft Exchange Server权限提升漏洞（7月13日修补）

最初展示在今年四月的PWN2HOB黑客竞赛中，DexBar攻击链的技术细节由DeBoC研究者Orange Tsai在上周的黑帽美国2021和DEF CON安全会议上披露。为了防止攻击企图，强烈建议企业安装Microsoft发布的更新。