信息来源:嘶吼
据其中几位花了几周时间研究漏洞的安全研究人员说,发现目前为这些漏洞(俗称 "ProxyNotShell")所提供的修复建议并不足以完全解决这些问题。
网络安全公司Huntress的高级threatOps分析师团队负责人Dray Agha解释说,微软提供的原始修复措施是很容易被恶意利用的。
他说,由于这种缓解措施很容易被绕过,所以那些使用了原始修复措施的服务器现在仍然是很脆弱的。截至周二,微软已经重新更新了缓解措施的脚本,并考虑到了这种被绕过的情况。
但是不幸的是,我们很可能会看到这将会成为一场猫捉老鼠的游戏,因为攻击者和安全研究人员都在寻找新的方法来绕过微软的缓解措施。
上周,在越南网络安全公司GTSC的报告中,微软确认它目前正在调查这些问题,这些漏洞也正在野外被利用。GTSC向 趋势科技的零日计划报告了这个问题,该计划也确认了这些漏洞的存在。
微软表示,它观察到目前在全球有不到10个组织被这些漏洞攻击。
该公司的安全团队解释说,黑客组织很可能是一个国家支持的组织,他们主要利用两个漏洞。
第一个是服务器端请求伪造漏洞,该漏洞被指定为CVE-2022-41040,它可以让拥有邮件服务器上用户账户凭证的攻击者获得未经授权的访问级别。第二个漏洞被定为CVE-2022-41082,该漏洞允许攻击者远程代码执行,这类似于2021年给许多公司造成混乱的ProxyShell漏洞。GTSC表示,它目前还不方便公布这些漏洞的技术细节。
远程代码执行漏洞被认为是特别危险的,因为它们使攻击者可以对受害者的系统进行修改。电子邮件也是许多企业日常办公的重要软件,并且内部可能会包含很多敏感信息,这也使得它们成为了攻击者的首要目标。
网络安全和基础设施安全局(CISA)在发现这两个漏洞数小时后,已将其添加到已知被利用的漏洞列表中,而微软在周四也证实,这些漏洞目前也正在被攻击者利用,并已经影响到那些运行的微软Exchange Server 2013、2016和2019。
Huntress高级安全研究员约翰-哈蒙德证实,微软最初的缓解措施可以很容易地被绕过,但他指出,微软目前已经提供了更新的自动化工具,可以使那些打了官方补丁的服务器获得更好的保护。
Sophos公司首席研究科学家Chester Wisniewski说,目前已知只有极少数的服务器由于这一漏洞受到了攻击,这也为我们大家争取了一点时间来实施缓解措施。
Wisniewski说,我们都还在等待官方补丁的发布,IT团队应该迅速做好准备,在官方补丁发布后尽快对漏洞进行修复,因为我们预计攻击者会在补丁发布后极短的时间内进行逆向工程,研究如何去利用这个漏洞。
Tenable的Claire Tills解释说,这些漏洞似乎是ProxyShell的变种,Proxyshell漏洞是2021年底被披露的一连串漏洞。
Tills说,最明显的区别是,这两个最新的漏洞都需要身份认证,而ProxyShell并不需要。
她补充说,ProxyShell是2021年发布的被利用最多的攻击链之一。
网络犯罪获得的利益
一些研究人员说,他们看到GitHub上有人出售虚假的漏洞利用工具,Flashpoint研究人员说,他们在俄语黑客和恶意软件论坛Exploit上看到一个漏洞被以25万美元出售。但是他们无法核实该漏洞是真的还是假的。
Flashpoint和其他几位专家一样,也对微软所认为的Exchange Online客户不需要采取任何措施提出了异议。Flashpoint研究人员说,这可能会使客户陷入一种错误的安全感中,客户即使迁移到了Exchange Online,但同时也在内部保留了一台混合的服务器。
他们说,在这种情况下,客户仍然需要对混合服务器进行处置。
根据微软发布的关于Exchange服务器更新的一般指导,即使你只在企业内部使用Exchange服务器来管理Exchange相关对象,你也需要保持服务器处于最新版本。
不幸的是,一些研究人员已经找到了绕过微软最近发布的最新缓解措施的方法。
Vulcan Cyber的高级技术工程师Mike Parkin指出,希望微软能够尽快发布补丁,以解决众多有潜在风险的企业内部Exchange服务器的问题。