Exchange高危漏洞全球28500台服务器确认易受攻击

2022年1月11日，360漏洞云监测到Microsoft发布1月安全更新，修复了多个Microsoft中的漏洞。

在其10月份最近一次披露后，Tsai表示，他现在将不在研究Exchange漏洞，并宣布“这个系列终于结束”。尽管Tsai现在可能已经结束漏洞发现工作，但专家表示，对于那些负责保护Exchange服务器的人来说，威胁不会很快解除。该漏洞集被称为ProxyOracle，被认为是风险最低的，可能是四组漏洞中讨论最少的。以ProxyRelay结束快进到 2022 年 10 月，很多攻击者仍然成功利用 Exchange 服务器上未修补的 ProxyLogon 和 ProxyShell 漏洞，Tsai 公布第四组称为 ProxyRelay。

近日，有关Microsoft Exchange多个远程代码执行漏洞的技术细节以及PoC已在互联网上公开。微软已在7月补丁日发布这些漏洞的修复补丁，建议受影响用户及时更新漏洞补丁进行防护，做好资产自查以及预防工作，以免遭受黑客攻击。

近日，微软官网上发布了一则关于Microsoft Exchange邮件系统的漏洞通报。以任意普通用户身份登录后，攻击者可利用漏洞冒充Exchange Server上的其他任意用户进行邮件收发操作（包括域管理员）。攻击者除了将此漏洞用于某些工作场景的用户伪造，更可能利用漏洞进行网络钓鱼、数据窃取或是其他恶意活动。

英国的国家网络安全中心正在敦促英国组织为其Microsoft Exchange安装安全补丁。这家英国机构透露已帮助英国组织保护大约2,100台易受攻击的Microsoft Exchange服务器的安装。根据Microsoft的说法，PT APT在针对美国组织的针对性攻击中利用了这些漏洞。该组织在历史上发起了针对多个行业的美国组织的网络间谍活动，其中包括律师事务所和传染病研究人员。NCSC还建议组织运行Microsoft安全扫描程序以检测Microsoft发现的攻击中使用的Web外壳并将其删除。

阅读Microsoft发布的公告。跟踪为CVE-2021-26857的第二个漏洞是驻留在统一消息服务中的不安全的反序列化漏洞。跟踪为CVE-2021-27065的最后一个漏洞是Exchange中的身份验证后任意文件写入漏洞。根据Microsoft的说法，PT APT在针对美国组织的针对性攻击中利用了这些漏洞。该组织在历史上发起了针对多个行业的美国组织的网络间谍活动，其中包括律师事务所和传染病研究人员。

根据Microsoft的说法，PT APT在针对美国组织的针对性攻击中利用了这些漏洞。本周，独立安全研究人员Nguyen Jang在GitHub上发布了一种用于黑客入侵Microsoft Exchange服务器的概念验证工具。The Record首次报告了amnnn概念验证代码的可用性。“一名越南安全研究人员今天针对Microsoft Exchange服务器中称为ProxyLogon的一组漏洞发布了第一个功能性的概念验证公开漏洞 ，并且在过去的一周中受到了严重的利用。”发布后几个小时，GitHub取消了PoC黑客工具，因为它对使用Microsoft Exchange解决方案的微软客户构成了威胁。

Microsoft本周发布了紧急带外安全更新，解决了所有受支持的MS Exchange版本中的四个零日问题。美国CISA的紧急指令要求联邦机构紧急更新或断开MS Exchange本地安装。MS Exchange Server团队的研究人员已经发布了一个脚本，管理员可以使用该脚本来检查其安装是否容易受到最近发现的漏洞的攻击。微软在GitHub上以开源形式发布了该工具，该工具可用于检查Exchange服务器的状态。“ Microsoft发布了更新的脚本，该脚本扫描Exchange日志文件以查找与 2021年3月2日披露的漏洞相关的危害指标。”

台湾咨询公司Devcore的安全研究员Orange Tsai在2020年底首次发现了ProxyLogon，这是一个服务器端请求伪造漏洞，可能允许攻击者绕过Exchange服务器中的身份验证。在微软公开披露和修补该漏洞前，名为Hafnium的团伙在一系列零日攻击中利用了该漏洞。然而，这家科技巨头直到8月18日才公开披露或修补该漏洞，此前Devcore多次请求扩展和跟进。ProxyRelay的发现在研究是否有办法绕过微软针对2021年Proxy相关攻击的缓解措施时，Tsai首次发现了这些漏洞。

风险通告 近日，奇安信CERT监测到微软修复了Microsoft Exchange多个高危漏洞。通过组合利用这些漏洞能够在未经身份验证的情况下远程获取目标服务器权限。其中包括CVE-2021-26855：服务端请求伪造漏洞；CVE-2021-2685...