攻擊者正在積極掃描Internet,以尋找容易受到兩周前Microsoft修補(bǔ)的CVE-2020-0688遠(yuǎn)程執(zhí)行代碼漏洞影響的Microsoft Exchange Server ����。
在進(jìn)行這些持續(xù)掃描之后,直到最新發(fā)布的補(bǔ)丁程序的所有Exchange Server版本都可能遭受潛在的攻擊�,包括當(dāng)前不受支持的掃描,即使Microsoft的安全公告未明確列出它們�。
該缺陷存在于Exchange控制面板(ECP)組件中,這是由Exchange在安裝時(shí)無法創(chuàng)建唯一的加密密鑰引起的���。
一旦被利用��,它就允許經(jīng)過身份驗(yàn)證的攻擊者以被利用服務(wù)器上的SYSTEM特權(quán)遠(yuǎn)程執(zhí)行代碼�����,并完全破壞它���。
Microsoft Exchange Server接管演示
零時(shí)區(qū)倡議(Zero Day Initiative)安全研究員Simon Zuckerbraun發(fā)布了一個(gè)演示�����,演示如何利用Microsoft Exchange CVE-2020-0688漏洞以及如何將固定的加密密鑰用作對(duì)未打補(bǔ)丁的服務(wù)器的攻擊的一部分���。
Zuckerbraun解釋說:“任何破壞設(shè)備或企業(yè)用戶憑據(jù)的外部攻擊者都可以繼續(xù)接管Exchange服務(wù)器���!
“完成此任務(wù)后��,攻擊者將可以隨意泄露或偽造公司電子郵件通信。
“因此��,如果您是Exchange Server管理員��,則應(yīng)將其視為關(guān)鍵級(jí)補(bǔ)丁程序���,并在測(cè)試完成后立即進(jìn)行部署��������!
下面嵌入了有關(guān)經(jīng)過身份驗(yàn)證的攻擊者如何遠(yuǎn)程利用該錯(cuò)誤并接管未打補(bǔ)丁的Microsoft Exchange Server的視頻演示��。
盡管Microsoft授予CVE-2020-0688嚴(yán)重性等級(jí)為“重要”��,但是����,如果企業(yè)內(nèi)部或外部的攻擊者成功地竊取任何用戶的憑據(jù)���,他們很可能也可以立即訪問并接管Exchange服務(wù)器���。
發(fā)生這種情況是因?yàn)椋瑤缀跛杏脩舳季哂蠩xchange郵箱����,并且即使他們具有有限的特權(quán)也可以通過服務(wù)器進(jìn)行身份驗(yàn)證-這絕不是攻擊者的障礙,因?yàn)樯矸蒡?yàn)證是成功利用此漏洞的唯一要求�。
要利用此漏洞,攻擊者只需找到可在Internet上訪問的易受攻擊的服務(wù)器�,搜索他們從Outlook Web Access(OWA)門戶URL收集的電子郵件地址,并從以前的數(shù)據(jù)泄露中獲取相關(guān)的轉(zhuǎn)儲(chǔ)。
接下來�,他們只需要發(fā)起憑據(jù)填充攻擊,并一直保持攻擊�,直到受到打擊并能夠登錄到服務(wù)器為止。進(jìn)入一次之后���,剩下的就是利用CVE-2020-0688漏洞并完全破壞目標(biāo)Exchange服務(wù)器��。
您可以訪問所有受支持的Microsoft Exchange Server版本的安全更新說明���,并從下表中下載它們:
掃描后總是會(huì)受到攻擊
安全研究員凱文·博蒙特說: “有一些開放源代碼工具可以在LinkedIn上輸入公司頁面,轉(zhuǎn)儲(chǔ)所有員工的姓名���,然后通過憑據(jù)填充對(duì)Outlook Web App進(jìn)行身份驗(yàn)證嘗試���! 這些工具用于主動(dòng)攻擊���,以獲取OWA和ECP訪問權(quán)限����!
他還補(bǔ)充說,攻擊者可以使用Mimikatz利用后的工具來轉(zhuǎn)儲(chǔ)所有用戶的密碼��,因?yàn)镋xchange Server將用戶憑據(jù)以純文本格式存儲(chǔ)在內(nèi)存中,沒有任何哈希��。
Zuckerbraun還補(bǔ)充說:“微軟列出的漏洞利用指數(shù)為1��,這意味著他們希望在補(bǔ)丁發(fā)布后30天內(nèi)看到漏洞利用�。”
正如上面的視頻以及Zuckerbraun對(duì)如何利用此漏洞的詳細(xì)解釋所表明的那樣����,針對(duì)未打補(bǔ)丁的Microsoft Exchange Server計(jì)算機(jī)的大規(guī)模攻擊即將落入勒索軟件有效載荷和其他危險(xiǎn)的惡意軟件有效載荷。
根據(jù)Microsoft的說法��,由于沒有可用的緩解措施��,也沒有任何變通辦法來阻止攻擊����,因此,剩下的唯一選擇是在黑客入侵服務(wù)器之前先對(duì)服務(wù)器進(jìn)行修補(bǔ)����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
