【BlackHat】速修复!有人正在扫描 Exchange 服务器寻找 ProxyShell 漏洞
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
在2021年黑帽大会上,研究员 Orange Tsai 发布了微软 Exchange ProxyShell 远程代码执行漏洞的详情,于是威胁行动者们开始积极扫描该漏洞。
ProxyShell 是三个漏洞的统称,它们可被组合用于在微软 Exchange 服务器上执行未认证的远程代码。攻击者可通过在IIS 中端口443 运行的微软 Exchange Client Access Service (CAS) 远程组合利用这些漏洞:
CVE-2021-34473:预认证路径混淆漏洞,导致ACL绕过(已在四月修复)
CVE-2021-34523:Exchange PowerShell 后端上的提权漏洞(已在四月修复)
CVE-2021-31207:利用后任意文件写漏洞导致远程代码执行漏洞(已在五月修复)
奇怪的是,虽然CVE-2021-34473和CVE-2021-34523首先在7月份披露,但实际上它们早在4月份微软 Exchange KB5001779 累积更新中已修复。这些漏洞是由Devcore 公司的首席安全研究员 Orange Tsai 发现的,他所在的团队因在四月举办的Pwn2Own 黑客大赛中对这些漏洞进行利用而获得20万美元的奖励。
上周四,Orange Tsai 在黑客大会上公布了自己在微软 Exchange Client Service (CAS) 攻击面上找到的微软Exchange 漏洞。他解释称,ProxyShell 攻击链中的一个组件针对的是Exchange Autodiscover 服务。微软引入该服务的目的是使邮件客户端软件能够轻松自动配置最小的用户输入。
看到 Orange Tsai 的演讲后,安全研究员 PeterJson 和 Jang 发布文章,提供了成功复现 ProxyShell exploit 的技术信息。
攻击者扫描易受攻击的 Exchange 服务器
本周,安全研究员 Kevin Beaumont 指出,某威胁者正在攻击其微软 Exchange 蜜罐,针对的是服务器的 Autodiscover 服务。虽然最初尝试并不成功,但昨晚获悉该漏洞的更多详情后,攻击者更改了扫描,使用了Tsai 公布的新的 Autodiscover URL。
https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com
该URL 使得威胁行动者成功地检测到一个易受攻击的系统,因为它出发了 ASP.NET web应用的编译。
Jang 表示访问该URL将导致 ASP.NET 工作者进程 (w3wp.exeexe) 编译 web 应用。
Beaumont 建议管理员使用 Azure Sentinel 检查 IIS 日志中是否存在 "/autodiscover/autodiscover.json" 或 "/mapi/nspi/" 字符串。
如结果列出了目标 Autodiscover URL,则证明攻击者正在扫描服务器中的漏洞。虽然目前攻击者的扫描成功率较低,但在野实现成功利用只是时间问题。强烈建议微软 Exchange 管理员安装最新累积更新,保护自身免受攻击。
补丁已发布
ProxyShell 漏洞的补丁已发布,攻击将很快出现,就像三月份 ProxyLogon 攻击导致的勒索攻击、恶意软件和数据被盗等。
Orange Tsai 指出,目前互联网上暴露了40万台微软 Exchange 服务器。
微软尚未就此事置评。
推荐阅读
【BlackHat】研究员吐槽苹果漏洞奖励计划
【BlackHat】亚马逊和谷歌修复DNS即平台中的严重漏洞
Black Hat USA 2021主议题介绍
原文链接
https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-scanned-for-proxyshell-vulnerability-patch-now/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
【BlackHat】速修复!有人正在扫描 Exchange 服务器寻找 ProxyShell 漏洞相关推荐
- 速修复!这个严重的 Apache Struts RCE 漏洞补丁不完整
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士团队 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的 ...
- 速修复!这个严重的Zlib内存损坏漏洞已存在17年!
聚焦源代码安全,网罗国内外最新资讯! 作者:Jessica Lyons Hardcastle 编译:代码卫士团队 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人&qu ...
- 微软 Exchange 服务器被滥用于内部邮件回复链攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 摘要 威胁行动者正在利用 ProxyShell 和 ProxyLogon exploit 分发恶意软件并利用被盗的内部回复链邮件绕过检测. 分发 ...
- ProxyToken:微软 Exchange 服务器中的认证绕过新漏洞,可窃取用户邮件
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软 Exchange Server 上出现一个严重漏洞,被命名为 "ProxyToken".该漏洞详情已公开,攻击者可在无 ...
- 【漏洞修复】Web服务器HTTP设置漏洞
文章目录 Web服务器HTTP设置漏洞 Web服务器HTTP头信息公开 默认的nginx HTTP服务器设置 Web服务器错误页面信息泄露 修复方案 服务验证 Web服务器HTTP设置漏洞 Web服务 ...
- 速修复!21个漏洞影响60%的互联网邮箱服务器
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 Exim 邮件服务器软件的维护人员发布更新,共修复21个漏洞,它们本可导致威胁人员通过本地和远程攻击向量接管服务器.这些漏洞被统称为 &q ...
- 速修复!NSA 报告四个严重和高危 Exchange Server RCE 漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码安全卫士 微软在今天的补丁星期二中共修复了108个漏洞,其中5个是0day.微软在此更新中修复了由美国国家安全局 (NSA) 报告的四个&quo ...
- 几十万台 Exchange 服务器已被入侵,修复补丁来了
请访问原文链接:https://sysin.org/article/exchange-patch/,查看最新版.原创作品,转载请保留出处. 微软 Exchange 邮件服务器软件爆出多个 0 日漏洞 ...
- 几十万台 Exchange 服务器已被入侵,Exchange Hafnium 修复补丁来了!
微软 Exchange 邮件服务器软件爆出多个 0 日漏洞 微软 Exchange 服务器的独立安装存在一系列缺陷,这导致了一场规模庞大的网络安全事件,有几十万台 Exchange 服务器的安装被黑客 ...
最新文章
- 多部门数据分析需求,如何满足?
- kafka拉取mysql数据库_kafka里信息用flink获取后放入mysql
- numpy.reshape(与ndarray.reshape一样)使用方法
- matlab进行动力吸振器设计,动力吸振器的参数设计和动力学分析
- PXE无人值守系统安装配置简要说明
- java判断是否失效_java – 如何在输入有效之前检查无效输入和循环?
- css样式,层叠顺序属性z-index
- 安卓音效AudioEffect源码剖析2——音效库接口
- 物联网服务器 网页服务器,如何选择合适的物联网平台服务器?
- 抖音视频如何去除水印
- 如何让计算机断开网络连接网络设置,电脑怎样设置定时断网,教您怎么设置
- Matlab_求最大特征值和特征向量
- PHP 微信 消费者投诉 下载图片 api接口
- DFMA 方法帮助降低血液分析仪成本
- android 免root冻结,自冻FreezeYou(超强免ROOT冻结神器)
- 怎么能免费制作自己的微信小程序?
- leetcode sql:游戏玩法分析 III
- 【广告联盟电商SEO】广告联盟网站收集
- 外媒:王者荣耀国际版折戟 腾讯已解散游戏在欧洲和美国营销团队
- WebP 方案分析与实践