更多全球网络安全资讯尽在邑安全
概念验证漏洞利用代码已于周末在线发布,用于影响 Microsoft Exchange 服务器的积极利用的高严重性漏洞。
被追踪为CVE-2021-42321的安全漏洞会影响本地 Exchange Server 2016 和 Exchange Server 2019(包括客户在 Exchange 混合模式下使用的那些),并在本月的补丁星期二由微软修补。
成功利用允许经过身份验证的攻击者在易受攻击的 Exchange 服务器上远程执行代码。
周日,也就是 CVE-2021-42321 补丁发布近两周后,研究人员Janggggg发布了 Exchange post-auth RCE 漏洞的概念验证漏洞。
“这个 PoC 只是在目标上弹出 mspaint.exe,可用于识别成功攻击事件的签名模式,”研究人员说。
微软表示:“我们知道使用其中一个漏洞 (CVE-2021-42321) 进行的有限针对性攻击,这是 Exchange 2016 和 2019 中的一个身份验证后漏洞。”
“我们的建议是立即安装这些更新以保护您的环境,”该公司表示,并敦促 Exchange 管理员修补在野外被利用的错误。
如果您尚未修补本地服务器中的此安全漏洞,则可以使用最新版本的Exchange Server Health Checker 脚本生成环境中所有需要更新的 Exchange 服务器的快速清单。
要检查您的任何易受攻击的 Exchange 服务器是否已被 CVE-2021-42321 攻击尝试攻击,您必须在每个 Exchange 服务器上运行此 PowerShell 查询以检查事件日志中的特定事件:
Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*" }
自 2021 年初以来,Exchange 管理员已经处理了两波针对 ProxyLogon 和 ProxyShell 安全漏洞的大规模攻击。
从 3 月初开始,受国家支持且出于经济动机的威胁行为者使用 ProxyLogon 漏洞部署 Web 外壳、加密矿工、勒索软件和其他恶意软件。
在这些攻击中,他们的目标是全球数万个组织的超过 100 万个 Microsoft Exchange 服务器中的四分之一。
四个月后,美国及其盟国,包括欧盟、英国和北约,正式将这些广泛的 Microsoft Exchange 黑客攻击归咎于其假想敌。
8 月,安全研究人员复制了一个有效的漏洞利用程序后,威胁行为者还开始通过利用 ProxyShell 漏洞来 扫描和破坏 Exchange 服务器。
尽管使用 ProxyShell 漏洞丢弃的有效载荷一开始是无害的,但攻击者后来转而在使用Windows PetitPotam 漏洞攻击的Windows 域中部署 LockFile 勒索软件有效载荷。
有了这个最新的漏洞 (CVE-2021-42321),研究人员已经看到攻击者扫描并试图破坏易受攻击的系统。
由于 Microsoft Exchange 已成为威胁参与者初步访问目标网络的热门目标,因此强烈建议使用最新的安全补丁使服务器保持最新状态。
原文来自: bleepingcomputer.com
原文链接: https://www.bleepingcomputer.com/news/security/exploit-released-for-microsoft-exchange-rce-bug-patch-now/
推荐文章
1
2