【安全圈】Microsoft Exchange服务器仍然打开以积极利用漏洞

尽管微软几乎在八个月前发布了补丁，但61%的Exchange服务器仍然易受攻击。

超过一半的公开Exchange服务器仍然容易受到严重漏洞的攻击，该漏洞允许经过身份验证的攻击者以系统权限远程执行代码--甚至在Microsoft发布修补程序8个月后。

所涉漏洞(CVE-2020-0688)存在于Exchange的控制面板、Microsoft的邮件服务器和日历服务器中。该漏洞源于服务器未能在安装时正确创建唯一密钥，该漏洞是Microsoft的二月补丁星期二更新-和三月份的管理员被警告了未修补的服务器在野外被未命名的高级持久性威胁(APT)参与者利用。

然而，新的遥测发现，在433,464台面向互联网的Exchange服务器中，至少61%的Exchange 2010、2013、2016和2019服务器仍然容易受到该漏洞的影响。

研究人员警告在三月的一次咨询中未修补的服务器在野外被未命名的APT参与者利用。攻击第一次开始于2月底并针对“众多受影响的组织”，研究人员说。他们观察到攻击者利用该漏洞运行系统命令进行侦察，部署webshell后门，并执行内存中的框架，事后利用。

四月，Rapid 7的研究人员发现，超过80%的服务器易受攻击；在433,464台面向互联网的Exchange服务器中，至少357,629台服务器存在漏洞(截至3月24日)。研究人员使用扫描工具ProjectSonar来分析面向互联网的Exchange服务器，并找出易受此缺陷影响的漏洞。

卖方敦促管理员核实是否已经部署了更新。他说，最可靠的方法是检查补丁管理软件、漏洞管理工具或主机本身，以确定是否已安装了适当的更新。

“CVE-2020-0688的更新需要安装在任何启用了Exchange控制面板(ECP)的服务器上，”他说。“这通常是具有客户端访问服务器(CAS)角色的服务器，您的用户将在其中访问OutlookWebApp(OWA)。”

在进行中的活动中，管理员还应确定是否有人试图利用其环境中的漏洞。Sellers在修补服务器和未修补服务器上测试了Windows事件日志和IIS日志(其中包含HTTP服务器API内核模式缓存命中)中留下的日志构件的攻击代码：“此日志条目将包括受损的用户帐户，以及包含文本无效ViewState的非常长的错误消息，”他说。

Sellers说，管理员还可以检查IIS日志中对/ECP下路径的请求(通常是/ECP/default.aspx)，这些日志应该包含String__ViewState和_VIEWSTATEGENERATOR--并且在请求的中间有一个长字符串，该字符串是利用负载的一部分。

他说：“您将在日志条目的末尾看到受损帐户名的用户名。”“在尝试利用漏洞之前快速检查日志条目时，应该显示对/wa下的网页的成功请求(HTTP代码200)，然后是/ecp下的请求。”