新的攻击活动:针对 Microsoft Exchange 服务器的零日漏洞警告
关键点摘要
- 越南安全公司 GTSC 提醒,有针对 Microsoft Exchange 服务器的新零日漏洞,可能导致远程代码执行。
- GTSC 已发布关于该漏洞及其临时应对方案的详细信息,帮助用户在 Microsoft 发布正式补丁前进行防护。
- 漏洞的攻击手法与早期的 ProxyShell 漏洞类似,攻击者可能源于一个中国的黑客组织。
越南安全公司 GTSC 警告称,存在针对 Microsoft Exchange 服务器的新零日漏洞,这种漏洞可能会导致远程代码执行。GTSC 的 SOC团队在其博客中详细描述了这一尚未公开的
及其 ,以帮助用户在
Microsoft 发布官方补丁之前阻止攻击。
SOC 团队首次在客户服务期间通过 IIS 日志发现该漏洞的攻击请求,这些请求的格式类似于 ,这一发现发生在八月份。GTSC 在发现该零日漏洞后立即联系了零日倡议(Zero Day Initiative),希望
Microsoft 能尽快准备补丁,但在此期间,其他客户已遭受了该漏洞的攻击。ZDI 已确认该漏洞,并承认有两个漏洞的 CVSS 分数分别为 8.8 和
6.3。
GTSC 的红队确定了如何利用该漏洞访问 Exchange后端组件并执行远程代码执行(RCE),但并没有透露具体的技术细节。不过,他们表示,该漏洞的利用记录了攻击以收集信息并在受害系统中建立立足点。
SOC 团队还推测这些攻击来自一个 ,因为网络壳代码来源于 Microsoft 为简体中文设计的字符编码。
“我们检测到许多模糊处理的 webshell 被放置在 Exchange 服务器上。通过用户代理,我们发现攻击者使用
Antsword,这是一个活跃的中国开源跨平台网站管理工具,支持 webshell 管理。”
GTSC 团队还注意到每条命令的结尾都有一个字符串,这是中国 Chopper web shell 的特征之一,同时还检测到恶意 DLL 被注入到内存中。
为减小遭受攻击的风险,该安全公司提供了临时解决方案,建议在 IIS 服务器的 URL 重写规则模块中添加规则,以阻止具有攻击指示的请求,具体步骤如下:
- 在 Autodiscover 的 FrontEnd 选项卡中选择 URL 重写,选择请求阻止
- 将字符串“.autodiscover.json. @.Powershell. ”添加到 URL 路径
- 条件输入:选择 {REQUEST_URI}
GTSC 还发布了指南与工具,以扫描 IIS 日志文件,并提供了该零日漏洞的损害指标。如需了解更多有关 Exchange 漏洞的信息,请访问 。
“我们建议全球所有使用 Microsoft Exchange Server 的组织/企业尽快检查、审查并应用上述临时解决方案,以避免潜在的严重损失。”
