314月14日,安全研究人员为微软发现了新的目标Exchange服务器的PoC(概念验证漏洞)。稍加修改后可以修改漏洞。Web shell安装在ProxyLogon进而影响漏洞Exchange服务器。
自从微软披露主动使用以来,它一直在积极使用Exchange安全漏洞(统称为ProxyLogon)管理员和安全研究人员一直致力于保护暴露在互联网上的脆弱服务器。
3月10日,越南安全研究人员Nguyen Jang公布ProxyLogon利用漏洞的之一个漏洞,PoC代码在GitHub公开发布技术分析medium平台。
随后,许多安全研究人员证实了这一点PoC有效性。漏洞分析师警告说,新的PoC脚本小子很可能会使用它。
据了解,ProxyLogon其实有四种不同Exchange Server由安全漏洞组成,Nguyen Jang所打造的PoC程序是串联的CVE-2021-26855与CVE-2021-27065尽管如此,漏洞PoC程序不能直接用于攻击,但只需稍加修改即可上阵。
"首先,我给的PoC不能正常工作。会有很多错误。只是为了和读者分享。"Jang对媒体说。
不过,该PoC安全研究人员和攻击者可以利用它为微软开发足够的信息Exchange服务器的功能RCE漏洞。
在PoC发布后不久,Jang收到微软旗下的一封信GitHub电子邮件,称PoC因违反可接受使用政策而下架。GitHub说,他们下架了PoC保护可能被漏洞攻击的设备。
GitHub表示,“PoC攻击程序的开放和传播对安全社区具有教育和研究价值,平台的目标是考虑价值和整个生态系统的安全,其政策禁止用户传播积极开发的漏洞。”
新漏洞已成为脚本小子的囊中之物
CERT/CC漏洞分析师Will Dorman在微软的Exchange该漏洞在服务器上进行了测试,以证明它只需稍加修改即可生效。
他警告说,漏洞已经在 "脚本小子 "在攻击范围内。
从下图可以看出,Dorman对微软Exchange服务器使用漏洞,远程安装web shell,并执行了 "whoami "命令。
Dorman另一张共享的图片显示,漏洞丢弃在服务器的指定位置test11.aspx Web shell。
NVISO高级分析师,SANS ISC高级处理员Didier Stevens也对微软Exchange虚拟机测试了该漏洞,但在PoC没那么幸运。
Stevens他说,他针对没有补丁和更新的问题Exchange 2016测试了PoC程序。但是,如果不调整一些活动目录设置PoC还是不能生效。
然而,Stevens本周末发布的PoC中间的新信息使他能够让他获得新信息Jang公布的PoC为了实现程序工作Microsoft Exchange成功执行服务器远程代码。
Stevens也同意Dorman评估,新的PoC披露的信息将使脚本男孩更容易创建有效的信息ProxyLogon漏洞。
8万台Exchange服务器仍有漏洞
根据Palo Alto Networks互联网上大约有8万台易受攻击的研究Microsoft Exchange服务器暴露在互联网上。
“按3月8日和11日进行Expanse互联网扫描,运行旧版本Exchange、最近发布的安全补丁服务器数量无法直接应用,从预期来看12.5万台下降到8万台,下降了30%以上。”
微软表示,即使易受攻击的服务器数量急剧下降,仍有许多服务器需要补丁。
“根据RiskIQ3月1日,我们看到了近40万台遥测器Exchange服务器有漏洞。到3月9日,仍有10多万台服务器有漏洞。这个数字一直在稳步下降,目前只剩下大约8.2需要更新万台。”微软在博客上说。
这些服务器中的许多是旧版本,没有可用的安全更新。但3月11日,微软为旧服务器发布了额外的安全更新版本,现在可以覆盖95%暴露在 *** 中的服务器。