Microsoft Exchange ProxyLogon PoC漏洞利用公布

安全 漏洞
近几周来,微软检测到多个利用0 day漏洞利用来攻击微软Exchange 服务器的攻击活动。其中,利用的是微软Exchange服务器中的ProxyLogon漏洞,CVE编号为CVE-2021-26855,攻击者利用该漏洞可以绕过认证方式和冒充其他用户。

近几周来,微软检测到多个利用0 day漏洞利用来攻击微软Exchange 服务器的攻击活动。其中,利用的是微软Exchange服务器中的ProxyLogon漏洞,CVE编号为CVE-2021-26855,攻击者利用该漏洞可以绕过认证方式和冒充其他用户。在攻击活动中,攻击者利用该漏洞来攻击Exchange 服务器,访问邮件账号,安装其他的恶意软件来实现对受害者环境的长期访问。

ProxyLogon漏洞概述

3月2日,Volexity 公开宣布检测到了多个利用ProxyLogon漏洞来攻击Exchange 服务器的案例,最早可追溯到1月3日。ESET称利用该漏洞在受害者邮件服务器上安装恶意注入的攻击者不多于10个,包括Hafnium、Tick、LuckyMouse、Calypso、Websiic和 Winnti (APT41)、Tonto Team、ShadowPad、Opera Cobalt Strike、Mikroceen和 DLTMiner。

根据ESET 的数据分析,有来自115个国家的超过5000台邮件服务器受到该攻击活动的影响,其中涉及政府组织和企业。此外,Dutch Institute for Vulnerability Disclosure (DIVD)周二发布数据称,发现全球有46000台服务器尚未修复ProxyLogon漏洞。

3月2日,微软发布ProxyLogon漏洞补丁,随后有更多的人开始分析ProxyLogon漏洞和扫描Exchange 服务器。

PoC 公布

3月10日,越南安全研究人员公布ProxyLogon漏洞的首个漏洞利用,PoC 代码在GitHub 公开,技术分析发布在medium平台。随后,多名安全研究人员都确认了该PoC的有效性。

Praetorian安全研究人员还逆向了CVE-2021-26855漏洞,通过识别有漏洞版本的exchange服务器和补丁修复的exchange服务器的差别,构造了一个点对点的漏洞利用。

建议

鉴于目前漏洞PoC的公开,以及多个黑客组织都在开发该漏洞利用。目前最好的建议就是尽快安装补丁修复有漏洞的exchange服务器。

PoC技术细节参见:

  • https://www.praetorian.com/blog/reproducing-proxylogon-exploit/
  • https://therecord.media/poc-released-for-microsoft-exchange-proxylogon-vulnerabilities/

本文翻译自:https://thehackernews.com/2021/03/proxylogon-exchange-poc-exploit.html

 

责任编辑:赵宁宁 来源: 嘶吼网
相关推荐

2021-03-09 16:03:02

微软Microsoft漏洞

2021-11-10 11:51:33

BrakTooth安全漏洞蓝牙设备

2021-03-15 21:01:05

微软Exchange漏洞

2021-03-18 09:08:44

MicrosoftExchange漏洞

2022-05-27 12:51:46

漏洞VMware攻击者

2013-07-11 09:25:49

2021-09-28 09:22:20

漏洞网络安全网络攻击

2021-04-16 10:31:41

FBI漏洞黑客

2021-03-18 10:17:31

漏洞GitHub代码

2023-04-07 09:12:11

2023-12-05 15:59:19

2021-03-08 10:58:03

漏洞Microsoft E微软

2020-10-23 14:03:31

漏洞NSA黑客

2016-11-08 19:44:08

2021-09-26 14:04:14

iOS零日漏洞漏洞

2021-03-26 16:51:36

恶意软件漏洞攻击

2023-02-17 18:30:50

2018-04-30 18:16:32

Windows安全 代码

2015-04-16 15:14:54

2020-10-09 09:52:00

漏洞分析
点赞
收藏

51CTO技术栈公众号