一项针对微软Exchange零日漏洞的持续调查显示，针对美国当地政府机构的攻击已在进行中。

3月2日，微软警告说https://www.zdnet.com/article/update-immediate-microsoft-rushes-out-patches-for-exchange-server-zero-day-attacks/“target=”\u blank“>四个零日漏洞——现在被追踪为CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065——正被野外的威胁行为者利用。

如果被滥用，这些漏洞可能会被用来危害运行Exchange Server 2013、2016和2019软件的服务器。

Microsoft已敦促客户立即应用提供的修补程序来修复这些漏洞，但零天泄露的情况经常是这样，网络攻击者很快就可以利用它们。

根据FireEye Mandiant管理的防御网络安全团队，一波攻击https://www.fireeye.com/blog/threat-research/2021/03/detection-response-to-explosion-of-microsoft-exchange-zero-day-vulnerabilities.html“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>针对滥用Exchange安全漏洞的美国目标进行了跟踪最新的受害者是当地政府实体、一所未命名的大学、一家工程公司和美国的许多零售商。

本月，观察到一名威胁参与者使用至少一个漏洞在易受攻击的Exchange服务器上部署web shell，以便“建立持久性和辅助访问”团队称。在两起案件中，网络攻击者试图删除Exchange服务器上的现有管理员帐户。

还记录了凭据盗窃、数据压缩以进行过滤以及使用PowerShell窃取整个电子邮件收件箱。Convention、Nishang和PowerCat工具被用于维护远程访问。

Mandiant补充说，东南亚政府和中亚电信公司这两个实体的妥协可能与这场运动有关。

“我们观察到的活动，Mandiant说：“再加上信息安全行业的其他人，这些威胁参与者很可能利用Exchange服务器漏洞在环境中站稳脚跟。”此活动之后会很快出现其他访问和持久性机制。“

Microsoft以前将攻击归因于铪，一个由中国政府赞助的高级持久性威胁（APT）组织。APT与过去针对美国国防公司、法律部门、研究人员和智库的攻击有关。

Mandiant预计会出现更多的入侵集群，在修补更易受攻击的服务器之前，这个问题很可能一直存在。Kaspersky说勒索软件和数据被盗的风险很高。

Microsoft Exchange用户应尽快更新软件可能。

在本周的相关新闻中，网络安全和基础设施安全局（CISA）发布了https://www.zdnet.com/article/cisa-issues-emergency-directive-to-agencies-deal-with-microsoft-exchange-bugs-now/“target=”\u blank“>紧急指令指示联邦机构立即处理Microsoft Exchange漏洞。

以前和相关的覆盖范围

• 微软：这些Exchange服务器零日漏洞正被黑客利用，所以现在更新https://www.zdnet.com/article/cisa-issues-emergency-directive-to-agencies-deal-with-microsoft-exchange-bugs-now/“target=”\u blank“>CISA向代理机构发出紧急指令：现在零天处理Microsoft Exchange
  
• Microsoft帐户劫持漏洞为bug赏金猎人赢得50000美元
  

有什么提示吗？通过WhatsApp |信号+447713 025 499或通过Keybase:charlie0安全联系

Accellion zero day声称网络安全公司Qualys有新的受害者

Maza俄罗斯网络犯罪论坛遭遇数据泄露

通过注册，您同意
2023-03-22 10:04:29