駭客開始利用ProxyShell漏洞 鎖定Exchange Server進行攻擊

美國網路安全暨基礎架構安全管理署(CISA)本周警告,一群駭客正在積極攻擊微軟Exchange Server中的ProxyShell漏洞。

美國網路安全暨基礎架構安全管理署(CISA)本周警告,一群駭客正在積極攻擊微軟Exchange Server中的ProxyShell漏洞。

ProxyShell是本月初由台灣廠商戴夫寇爾研究人員蔡政達在Black Hat大會上揭露的3個漏洞的總稱。安全廠商Huntress已經觀察到試圖開採ProxyShell漏洞植入後門程式的活動。但本周研究人員發現攻擊有激增現象,超過1900個未修補的Exchange Server被植入了140個webshell。受害者包含大樓建商、海產加工業者、工業機製造商、汽車維修商與小型機場等等。

有鑒於受害企業的產業類型,CISA因而立即發出安全公告,呼籲企業小心及修補Exchange Server漏洞。

Huntress研究人員John Hammond偕同安全專家Kevin Beumont與Rich Warren發現,攻擊者除了安裝webshell外,還利用ProxyShell植入勒索軟體LockFile。

Huntress團隊分析了一個被感染的系統,以了解攻擊手法。Exchange Server的網際網路服務組態檔遭到變更,加入了「虛擬目錄」可將一個URL端點導向檔案系統上另一個目的地。這可讓攻擊者webshell藏在ASP目錄監控的地區之外,不見得是在公開Web目錄中。如果研究人員不知道要找這個,攻擊者就能成功潛伏在受害系統而不被發現。此外,被隱藏的webshell 也使用過去未曾見過的XML/XLS轉換手法。

事實上,在8月初美國SANS「網路風暴中心」研究人員Jan Kopriva做了一次Shodan掃瞄,估計有超過3萬台Exchange Server未修補。

研究人員Kevin Beaumont則對微軟對ProxyShell漏洞公佈及呼籲修補重要性不力感到不滿。Beumont批評微軟忽略修補程式的重要性,只把它列入標準的Exchange修補程序。三月間Exchange Server的ProxyLogon修補太慢,造成全球用戶極大威脅,但ProxyShell的RCE漏洞風險程度有過之而無不及。

而且,他4月就通報微軟,但微軟卻到7月才發佈CVE追蹤,Beaumont指出,這讓企業客戶忽略了,這其實是今年以來最重大的安全漏洞之一。

Beaumont表示目前已和Shodan合作開發一個外掛來辨識有ProxyShell漏洞的Exchange Server。他並批評,微軟忙著宣傳別家公司產品如Netgear的漏洞,卻完全忽略自己的問題。

ProxyShell三個漏洞包括:CVE-2021-34473,可導致存取控制表繞過 (ACL Bypass)(四月已修補);CVE-2021-34523,為PowerShell後端的權限升級漏洞(四月已修補);以及CVE-2021-31207 ,可導致遠端程式碼執行(五月已修補)。

CISA在最新安全公告呼籲企業找出網路上的未修補系統,並立即安裝修補這三個ProxyShell漏洞的微軟五月安全更新,以防止攻擊。

來源:ThreatPost

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416