Microsoft 解决 Exchange 版本的四个零日漏洞

Microsoft已发布了所有支持的Microsoft Exchange版本中的紧急带外安全更新，这些更新解决了四个零日漏洞（CVE-2021-26855，CVE-2021-26857，CVE-2021-26858和CVE-2021-27065）。

这位IT巨人报告说，至少有一个与中国有联系的APT小组，称为HAFNIUM，将这些漏洞链接在一起，以访问内部部署的Exchange服务器以访问电子邮件帐户，并安装后门以维护对受害环境的访问。

“Microsoft已检测到多个零日漏洞，可用于在有限且有针对性的攻击中对Microsoft Exchange Server的本地版本进行攻击。在观察到的攻击中，威胁行动者利用这些漏洞访问了本地Exchange服务器，从而可以访问电子邮件帐户，并允许安装其他恶意软件以促进对受害者环境的长期访问。” 阅读Microsoft发布的公告。“微软威胁情报中心（MSTIC）将该活动归功于HAFNIUM，该组织根据观察到的受害者，策略和程序，被评估为由国家资助并在中国以外运营的组织。”

攻击链始于与Exchange服务器端口443的不受信任的连接。

第一个零日漏洞被跟踪为CVE-2021-26855，是Exchange中的服务器端请求伪造漏洞，攻击者可利用该漏洞通过发送任意HTTP请求来验证为Exchange服务器。

跟踪为CVE-2021-26857的第二个漏洞是驻留在统一消息服务中的不安全的反序列化漏洞。拥有管理权限的攻击者可以利用此漏洞在Exchange服务器上以SYSTEM身份运行代码。

第三个漏洞跟踪为CVE-2021-26858，它是Exchange中身份验证后的任意文件写入漏洞。

跟踪为CVE-2021-27065的最后一个漏洞是Exchange中的身份验证后任意文件写入漏洞。

根据Microsoft的说法，PT APT在针对美国组织的针对性攻击中利用了这些漏洞。该组织在历史上发起了针对多个行业的美国组织的网络间谍活动，其中包括律师事务所和传染病研究人员。

在过去的活动中，HAFNIUM攻击者还与受害Office 365租户进行了交互。

“ HAFNIUM主要针对美国多个行业的实体，包括传染病研究人员，律师事务所，高等教育机构，国防承包商，政策智囊团和非政府组织。” 声明微软。

HAFNIUM以前通过利用漏洞来入侵面向Internet的服务器，并使用合法的开源框架（例如 Covenant）进行命令和控制。一旦攻击者获得了受害者网络的访问权限，他们通常会将数据渗漏到MEGA等文件共享服务中。

微软公司副总裁Tom Burt解释说，一旦获得对易受攻击的Microsoft Exchange服务器的访问权限，Hafnium黑客就会使用远程访问从组织的网络中窃取数据。

“首先，它可以使用密码被盗或通过使用以前未发现的漏洞来伪装成应该具有访问权限的人，从而可以访问Exchange Server。其次，它将创建所谓的Web Shell，以远程控制受感染的服务器。第三，它将使用从位于美国的私人服务器运行的远程访问来窃取组织网络中的数据。” 伯特写道。*

建议管理员立即安装这些安全更新，以保护其安装。

Microsoft发布了针对这些攻击的危害指标（IoC）。