微軟發布了緊急補丁，以解決Exchange Server中此前未公開的四個安全漏洞。據稱，一些威脅行為者正在積極利用這些漏洞，以期進行數據盜竊。

微軟威脅情報中心(Microsoft Threat Intelligence Center，MSTIC)將攻擊描述為“有限的和有針對性的”，攻擊者利用這些漏洞訪問了本地Exchange服務器，進而授予了對電子郵件帳戶的訪問權限，并為安裝其他惡意軟件做好了鋪墊，以方便長期訪問受害者環境。

這家科技巨頭最初將此次活動高度自信地歸因于一個被稱為“鉿(HAFNIUM)”的威脅者，當然不排除其他組織也可能參與其中的可能性。

Microsoft首次討論該團體的策略、技術和程序(TTP)，將HAFNIUM描繪為“技術高超和較為熟練的攻擊者”，主要針對美國一系列行業中的實體企業以從中泄露敏感信息，包括傳染病研究人員、律師事務所、高等教育機構、國防承包商，政策智囊團和非政府組織。

據信，HAFNIUM通過利用美國租用的虛擬私人服務器來策劃其攻擊，以掩蓋其惡意活動。

攻擊分為三個階段，其中包括使用密碼被盜或通過使用以前未發現的漏洞來訪問Exchange服務器，然后部署Web Shell來遠程控制受感染的服務器。攻擊鏈中的最后一個鏈接利用遠程訪問從組織網絡中竊取郵箱，并將收集到的數據導出到文件共享站點(例如MEGA)。

為了實現這一目標，Volexity和Dubex的研究人員發現了多達四個0day漏洞，它們被用作攻擊鏈的一部分：

•  CVE-2021-26855：Exchange Server中的服務器端請求偽造(SSRF)漏洞
• CVE-2021-26857：統一消息服務中的不安全反序列化漏洞
•  CVE-2021-26858：Exchange中的身份驗證后任意文件寫入漏洞
•  CVE-2021-27065：Exchange中的身份驗證后任意文件寫入漏洞

盡管這些漏洞會影響Microsoft Exchange Server 2013、Microsoft Exchange Server 2016和Microsoft Exchange Server 2019，但微軟表示，出于“深入防御”的目的，將要更新Exchange Server 2010。

此外，由于最初的攻擊需要與Exchange服務器端口443的不受信任的連接，因此該公司指出，組織可以通過限制不受信任的連接或使用虛擬網絡將Exchange服務器與外部訪問隔離來緩解此問題。

微軟除了強調此次漏洞利用與SolarWinds相關的漏洞沒有關聯外，還表示已向有關美國政府機構通報了新一波攻擊。但該公司沒有詳細說明有多少組織成為攻擊目標，攻擊是否成功。

Volexity指出入侵活動大概始于2021年1月6日左右，并警告稱它已檢測到多個Microsoft Exchange漏洞在野外被積極利用，以用于竊取電子郵件和破壞網絡。

“雖然攻擊者最初為了盡可能的逃避監測，似乎只是竊取了電子郵件，但他們最近轉而積極主動地發動攻擊以取得立足之地。”Volexity的研究人員Josh Grunzweig，Matthew Meltzer，Sean Koessel，Steven Adair和Thomas Lancaster在一篇文章中解釋說。

“從Volexity的角度來看，這種利用似乎涉及多個操作員，他們使用各種各樣的工具和方法來轉儲憑證、橫向移動以及進一步的后門系統。”

除了補丁之外，微軟高級威脅情報分析師凱文·博蒙特(Kevin beumont)還創建了一個nmap插件，該插件可用于掃描網絡以尋找潛在的易受攻擊的Microsoft Exchange服務器。

盡管往常一般在每個月的第二個星期二發布補丁，但考慮到這些漏洞的嚴重性，此次提前一周發布了補丁也就不足為奇了。建議使用易受攻擊版本的Exchange Server的客戶立即安裝更新，以阻止這些攻擊。

微軟公司客戶安全公司副總裁湯姆·伯特(Tom Burt)說：“盡管我們已經迅速進行應對以部署針對Hafnium漏洞的更新，但我們知道許多犯罪集團也將迅速采取行動，以在系統未打補丁加以積極利用。”“及時應用已經發布的補丁是抵御這種攻擊的最佳方法。”

本文翻譯自：https://thehackernews.com/2021/03/urgent-4-actively-exploited-0-day-flaws.html如若轉載，請注明原文地址。