在过去的几天里,有很多关于 Microsoft Exchange Server 中几个关键零日漏洞的新闻报道,这些漏洞正在根据以下 CVE 进行跟踪:
不幸的是,我们最近发现瑞士有数百个组织受到利用上述漏洞的威胁行为者的攻击。虽然微软将最初的、在野外观察到的妥协归因于一个名为 HAFNIUM 的中国国家支持的组织,但自微软发布补丁以来,其他几个威胁行为者很快就掌握了这一漏洞。因此,我们已开始根据受信任的第三方提供给我们的信息通知可能受到攻击的组织。
自 Microsoft 发布安全更新以来,感染已变得更加普遍。我们已通过 Twitter(3 月 2 日)、NCSC 主页和我们封闭的社区平台向公众发出警告。与此同时,我们获悉瑞士有几台遭到入侵的 Exchange 服务器。请注意,此漏洞不仅会影响向 Internet 公开 OWA(Outlook Web Access)的 Exchange 服务器,还会影响使用 https(例如 ActiveSync 或统一消息、脱机通讯簿 (OAB) 和其他服务)公开其他组件的服务器。
我们有证据表明,该漏洞在 Microsoft 于 2021 年 3 月 2 日发布初始公告后很快就被利用,甚至可能在短短几个小时内就被利用。目前,我们仍在接收和发送有关瑞士漏洞和可能受感染组织的信息。如果您从 NCSC 收到此类信息,或者如果您想确保您没有受到损害,我们建议您遵循以下提到的程序。如果您不确定自己是否具备内部技术知识,我们强烈建议您向提供事件响应的专业公司寻求支持。
确定您的服务器是否仍然易受攻击或它们是否已成功修补。Microsoft在此处提供修补指南以及生命周期结束 (EOL) 产品的修补程序。请注意,尽管EOL补丁微软提供的Exchange 2007,2010,这些版本EOL和应该迁移到支持的版本尽快地。
请注意,在妥协后打补丁是不够的,系统必须从头开始重建。如果这在短期内无法实现,那么Microsoft 的缓解工具可以对 Exchange 漏洞应用临时缓解措施并删除一些攻击者工件。
检测是否存在 webshell。有几个地方不应该存在 .aspx 或者只有很少的地方由 Exchange Server 本身提供:
\inetpub\wwwroot\aspnet_client\ (any .aspx file under this folder or sub folders) \<exchange install path>\FrontEnd\HttpProxy\ecp\auth\ (TimeoutLogoff.aspx is legit) \<exchange install path>\FrontEnd\HttpProxy\owa\auth\ (newer files (e.g. after 2nd of March 2021 that do not belong to the installation)) \<exchange install path>\FrontEnd\HttpProxy\owa\auth\Current\ (should not contain .aspx files) \<exchange install path>\FrontEnd\HttpProxy\owa\auth\<folder with version number>\ (should not contain .aspx files)
微软提供了一个当前已知的webshell 被删除位置的列表。
您还可以使用 YARA 扫描 webshell 的存在,例如通过 Nextron Systems 提供的免费Loki Scanner或使用Volexity提供的 YARA 规则
已知的 Webshell SHA256 哈希值:
b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0 097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e 2b6f1ebb2208e93ade4a6424555d6a8341fd6d9f60c25e44afe11008f5c1aad1 65149e036fff06026d80ac9ad4d156332822dc93142cf1a122b1841ec8de34b5 511df0e2df9bfa5521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1 4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf1f13f8ea 811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d 1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944
一个好的方法是检查来自 Exchange IIS 的日志。通常攻击者不会伪装用户代理,因此新用户代理或指向脚本的用户代理可能是一个很好的指标。
S:CMD=Set-OabVirtualDirectory.ExternalUrl='
攻击者曾多次使用以下 IP 地址之一。请注意,IP 地址可能会导致误报。
103.77.192[.]219 104.140.114[.]110 104.248.49[.]97 104.250.191[.]110 108.61.246[.]56 112.66.255[.]71 139.59.56[.]239 149.28.14[.]163 157.230.221[.]198 161.35.1[.]207 161.35.1[.]225 161.35.45[.]41 161.35.51[.]41 161.35.76[.]1 165.232.154[.]116 167.99.168[.]251 167.99.239[.]29 182.18.152[.]105 185.250.151[.]72 188.166.162[.]201 192.81.208[.]169 203.160.69[.]66 211.56.98[.]146 45.77.252[.]175 5.2.69[.]14 5.254.43[.]18 77.61.36[.]169 80.92.205[.]81 86.105.18[.]116 89.34.111[.]11 91.192.103[.]43
我们建议采取以下安全预防措施,以更好地保护您的 Exchange Server 基础结构:
本文系外文翻译,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文系外文翻译,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。