3 月 2 日,微软面向 Microsoft Exchange Server 2013, 2016 和 2019 紧急发布带外(Out of Band)安全更新,修复了一个预认证的远程代码执行(RCE)漏洞链(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065)。
黑客可以利用这些漏洞在不知道有效账户凭证的情况下接管任意可访问的 Exchange 服务器。截止发稿为止,目前有超过 5000 台右键服务器检测到了 webshells,超过 6 万个客户受到影响,而欧洲银行业管理局等多个重要机构遭到攻击。
该漏洞最早是由知名漏斗研究专家 Orange Tsai 发现的,他在 2021 年 1 月 5 日向微软报告了这些漏洞。不过根据外媒 Volexity 的报道,有迹象表明早在 1 月 3 日就有黑客利用该漏洞链发起了攻击。因此,如果这些日期是正确的,那么这些漏洞要么是由两个不同的漏洞研究团队独立发现的,要么就是这些漏洞的信息以某种方式被恶意团伙获得。
2021 年 2 月 28 日开始,不断有 Exchange 用户遭到 *** 攻击,首先是 Tick,然后 LuckyMouse、Calypso 和 Winnti 团伙也开始迅速发起攻击。这表明,多名黑客在补丁发布之前就获得了漏洞的细节,这意味着我们可以摒弃他们通过对微软更新进行逆向工程构建漏洞的可能性。
在补丁发布的第 2 天,黑客采取了更加疯狂的攻击,包括 Tonto Team 和 Mikroceen 等团队也对 Exchange 服务器发起攻击。有趣的是,所有这些都是对间谍活动感兴趣的高级持续威胁(APT)组织,除了一个例外(DLTMiner),它与一个已知的加密采矿活动有关。下图是攻击时间线概要。
在过去几天时间里,ESET 研究人员一直在密切关注这些漏洞的 webshell 检测数量。基于 ESET 的遥测数据,在补丁发布日有超过 115 个国家的 5000 多台 Exchange 服务器被标记为 webshell,而实际受感染的服务器数量肯定更多。图 2 展示了微软补丁前后的检测情况。
图 3 的热图显示了根据 ESET 遥测的 webshell 检测的地理分布情况。由于大规模的利用,它很可能代表了全球安装 ESET 安全产品的易受攻击的 Exchange 服务器的分布情况。
ESET 已经确定了超过 10 个不同的 *** 威胁者,他们很可能利用最近的 Microsoft Exchange RCE,以便在受害者的电子邮件服务器上安装植入物。
我们的分析是基于电子邮件服务器,我们在这些服务器上发现了离线地址簿(OAB)配置文件中的webshell,这是利用RCE漏洞的一种特殊技术,已经在42单元的一篇博客文章中详细介绍过。遗憾的是,我们不能排除一些威胁行为者可能劫持了其他组投放的webshells,而不是直接使用该漏洞。一旦漏洞被利用,webshell 被安装到位,我们观察到有人试图通过它安装更多的恶意软件。我们还注意到,在某些情况下,几个威胁行为者针对的是同一个组织。
(消息及封面来源:cnBeta)
近日,据Reddit上的帖子和Cyber Kendra上的一份报告显示,LAPSUS$ (Lapsus) 组织入侵了微软的DevOps帐户,该组织此前入侵了NVIDIA和三星。 下面的截图由Lapsus发布,但很快被删除,由Cyber Kendra保存了下来。该组织声称可以访问微软的一些DevOps...
上周,Chrome Security 团队的 Adrian Taylor,在一篇谷歌安全博客文章中解释了“为何在野外被利用的 CVE 漏洞似乎有所增加”。对于这种漏洞利用的可见性增长趋势,归咎于多个方面的因素。而谷歌旗下的 Project Zero 团队,也有对包括 WebKit、IE、Flash、...
根据The Hacker News的报道,有三个高影响的统一可扩展固件接口(UEFI)安全漏洞被公布,即CVE-2021-3970、CVE-2021-3971和CVE-2021-3972,已被发现它们会影响联想的各种设备,如联想Flex、IdeaPads和Yoga笔记本电脑。 最初,CVE-202...
文件压缩软件 7-Zip 被爆零日安全漏洞,允许攻击者提权并执行任意代码。目前开发团队并未发布补丁,但普通用户可以通过简单操作来让这个漏洞失效。上周,研究人员 Kağan Çapar 发现并公布了 7-Zip 的一个零日漏洞,该漏洞可以授予权限升级和命令执行。 它被命名为 CVE-2022-290...
Hackernews 编译,转载请注明出处: 西班牙国家警察局(National Police ía Nacional)上周表示,该局捣毁了一个未命名的网络犯罪组织,并逮捕了8名涉嫌与一系列以金融欺诈为目的的 SIM 卡调换攻击有关的罪犯。 犯罪团伙的嫌疑人伪装成银行和其他组织有信任力的代表,使用...
根据FBI的年度互联网犯罪报告,2021年人们因互联网犯罪而损失了超69亿美元,这比2020年猛增了20多亿美元。该报告于周二发布,包含了向美联邦执法机构的互联网犯罪投诉中心报告的最普遍的互联网诈骗信息 资料图 据FBI介绍称,2021年共有847,376起互联网犯罪投诉,虽然比2020年只增加了...