E安全3月9日訊
近日,微軟為其Exchange電子郵件伺服器的四個零日漏洞釋出了緊急軟體補丁。Exchange電子郵件伺服器是企業基礎設施中使用最廣泛的元件之一。
該公司表示,總部位於中國、被其稱為Hafnium的集團利用了這些漏洞,該集團正尋求獲得對電子郵件系統的持久訪問權。微軟通常會在每個月的第二個星期二釋出Windows和其他產品的補丁程式,但它會例外處理那些被認為特別危險的安全漏洞。
儘管微軟將這些攻擊描述為“有限的和有針對性的”,但已經有跡象表明,許多其他駭客組織正在發起攻擊,以期使速度緩慢的組織措手不及。這些漏洞似乎至少從1月初開始就被利用了。
微軟負責客戶安全與信任的公司副總裁湯姆·伯特在部落格中寫道,該組織一直將傳染病研究人員、律師事務所、高等教育機構、國防承包商、政策智庫和非政府組織作為攻擊目標。
伯特寫道:“儘管我們已經迅速部署了針對鉿探測的更新,但我們知道,許多國家行為者和犯罪集團將迅速採取行動,利用任何未修補的系統。”
FireEye Mandiant高階副總裁兼首席技術官Charles Carmakal說:“ FireEye已經觀察到這些漏洞在野外被利用,我們正在與一些受影響的組織積極合作。”
“除了儘快修補補丁程式外,我們建議組織還審查其系統,以獲取在部署補丁程式之前可能發生的利用漏洞的證據。”
微軟表示,Volexity和Dubex兩家公司透過對攻擊的觀察對其分析做出了貢獻。Volexity是一家專門從事事件響應和記憶體分析的計算機取證公司,它詳細闡述了在一月份在其兩個客戶的系統上看到的異常行為。部落格文章稱,攻擊者利用這些漏洞“竊取了多個使用者郵箱的全部內容”。
Volexity表示,早在1月6日,它就檢測到使用者的異常活動,這意味著攻擊者已經活躍了至少兩個月,但實際可能更久。
微軟表示,最新的惡意活動與太陽風供應鏈攻擊無關。美國政府認為,俄羅斯對外情報局滲透了太陽風公司的軟體更新基礎設施,植入了惡意軟體,然後分發給了18000個組織。
這些漏洞隻影響Exchange的本地版本,其中一個組織選擇宿主應用程式本身。微軟的技術顧問表示,這不會影響Exchange online或雲計算版本。漏洞為CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065。
微軟已經發布了危害指標,以便組織可以檢查它們是否遭到攻擊。此外,它還發布了針對Azure Sentinel和產品檢測的高階搜尋查詢,以及針對Microsoft Defender for Endpoint的查詢。
微軟詳細說明了攻擊者是如何獲得電子郵件許可權的。該組織將透過竊取的密碼或新披露的漏洞訪問一臺Exchange伺服器,該小組將在伺服器上放置一個web shell,允許持久訪問。微軟表示,該組織將命令shell在竊取資料時使用美國境內的虛擬私人伺服器來掩蓋惡意活動。
此外,Volexity還指出了交易所以外的更大風險。在多個組織中,該公司觀察到CVE-2021-26855與目標Exchange服務上的另一個遠端執行漏洞連結在一起。
注:本文由E安全編譯報道,轉載請注原文地址
https://www。easyaq。com