文章摘自 tenable 官網
DEVCORE 研究員 Orange Tsai 的三個漏洞可以被鏈接起來以實現未經身份驗證的遠程代碼執行。攻擊者正在尋找要利用的易受攻擊的實例。
背景
上週在Black Hat USA和DEF CON安全會議上,DEVCORE 研究員Orange Tsai發表了題為“ProxyLogon 只是冰山一角:Microsoft Exchange Server 上的新攻擊面!”的演講。在他的 Black Hat 演講中,他介紹了 Microsoft Exchange Server 中的三個漏洞:
| CVE | 描述 | CVSSv3 | VPR* |
| CVE-2021-34473 | Microsoft Exchange Server 遠程代碼執行漏洞 | 9.1 | 9 |
| CVE-2021-34523 | Microsoft Exchange Server 提權漏洞 | 9.0 | 8.4 |
| CVE-2021-31207 | Microsoft Exchange Server 安全功能繞過漏洞 | 6.6 | 8.4 |
資料來源:Tenable,2021 年 8 月
*請注意:Tenable 的漏洞優先級評級(VPR) 分數每晚計算一次。這篇博文發表於 8 月 9 日,反映了當時的 VPR。
Orange Tsai 是一位多產的研究人員,他在廣泛的產品中發現了許多高危漏洞。最相關的是CVE-2021-26855,又名ProxyLogon,其實在一月份(Volexity和微軟的威脅情報中心也報告給微軟收到的信用為發現此漏洞)。儘管如此,ProxyLogon 還是被威脅組織 HAFNIUM和其他高級持續威脅參與者用作零日漏洞。即使在 Microsoft 為 ProxyLogon 發布了帶外補丁之後,威脅行為者仍繼續利用它進行各種類型的攻擊,從加密挖掘和創建殭屍網絡到勒索軟件。
分析
CVE-2021-34473是一個遠程代碼執行漏洞,評分最高,CVSSv3 評分為 9.1。根據微軟的可利用性指數,CVE-2021-34523和CVE-2021-31207最初都被評為“不太可能被利用”,因為它們具有獨立的功能,但當它們鏈接在一起時,它們對攻擊者俱有重大價值。通過鏈接這些漏洞,攻擊者可以在端口 443 上的易受攻擊的 Exchange 服務器上執行任意命令。 三個 ProxyShell 漏洞中的兩個,CVE-2021-34473 和 CVE-34523,作為 2021 年 4 月補丁星期二發布的一部分進行了修補,儘管微軟說他們在安全更新指南中“無意中被遺漏了”。CVE-2021-31207 已於 5 月修補。
攻擊者正在主動掃描易受 ProxyShell 攻擊的 Exchange 服務器
8 月 6 日,安全研究員Kevin Beaumont報告了在野外利用此漏洞鏈的嘗試。
在接下來的幾天裡,幾個計算機安全事件響應小組發布了 有關攻擊者掃描易受攻擊的 Microsoft Exchange 服務器的警報。由於今年到目前為止 ProxyLogon 和其他 Exchange Server 漏洞被廣泛利用,我們建議組織立即修補。攻擊者已經在尋找可利用的易受攻擊的服務器,如果您知道網絡上有未打補丁的服務器,則啟動事件響應程序可能是明智之舉。
概念證明
在 Tsai 上週的演講之後,另外兩名研究人員發表了Tsai 工作的複製品,其中包括有關如何利用漏洞鏈的更多技術細節。其中一位研究人員 Jang在今年早些時候還發布了ProxyLogon 的概念驗證。
供應商反應
微軟已在其 4 月和 5 月補丁星期二版本中修補了所有這些漏洞。CVE-2021-34473 和 CVE-2021-34523 已於 2021 年 4 月修補,但微軟直到7 月才發佈公告。
識別受影響的系統
可在此處找到用於識別這些漏洞的 Tenable 插件列表。
獲取更多信息
聯絡我們