微软修复了中国'Hafnium'间谍窃取受害者数据的Exchange Server中的四个零日缺陷

补丁ASAP:用于在Kim Dotcom的旧云文件储物柜中RAID顶层目标和藏匿信息的漏洞


微软表示,北京支持黑客正在利用Exchange Server中的四个零天漏洞,从而窃取来自基于美国的国防承包商,律师事务所和传染病研究人员的数据。

Windows巨头今天发出了修补程序以便交换以关闭错误,并建议所有的应用程序。从2013年到2019年版本,来自2013年到2019年的托管交换,很脆弱,需要修复。

微软的企业Veep为客户安全和信任汤姆伯特 命名为 歹徒“铪”说,他们在中国运作虽然使用基于美国的服务器,并将网络间谍团队分为“一个高技能和精致的演员”,这是国家的赞助。

Burt表示,Snoops进行三步攻击:

  1. 使用被盗密码或使用零天漏洞来获取对Exchange服务器,并将其伪装为合法用户。
  2. 使用Web shell远程控制受妥协的Exchange服务器。
  3. 使用生成的远程访问,从位于美国的服务器,以exfiltrate内部数据。

中国间谍在他们的阿森纳 四个零点虫子 可以将最终闯入弱势交换装置;根据Microsoft的说法,它们是

CVE-2021-26855:服务器端请求伪造(SSRF)漏洞,允许攻击者发送任意HTTP请求并验证为Exchange Server。

CVE-2021-26857:统一消息服务中的不安全的反序列化漏洞。不安全的反序列化是通过程序反序列化不可信任的用户可控数据的位置。利用此漏洞使Hafnium能够在Exchange服务器上运行代码的代码。这需要管理员权限或其他漏洞利用。

CVE-2021-26858.:后验证后的任意文件编写漏洞交换。如果Hafnium可以使用Exchange Server进行身份验证,则它们可以使用此漏洞将文件写入服务器上的任何路径。他们可以通过利用CVE-2021-26855 SSRF漏洞或损害合法管理员的凭据来进行身份验证。

CVE-2021-27065:后验证后的任意文件编写漏洞交换。如果Hafnium可以使用Exchange Server进行身份验证,则它们可以使用此漏洞将文件写入服务器上的任何路径。他们可以通过利用CVE-2021-26855 SSRF漏洞或损害合法管理员的凭据来进行身份验证。

我们注意到,Microsoft建议“在外部面向外部的Exchange服务器上优先考虑安装更新。”

中国和印度

默认的Mumbai电力系统来自中国的恶意软件攻击,索赔Infosec Intel Outfit记录了未来

阅读更多

安全咨询volexity,Microsoft Credits帮助它揭示了两个错误,已发布其 帐户 导致它提醒科技歌利亚的事件的意义。

volexity表示,它在2021年1月2021年1月和调查后发现了对客户的交换服务者的不寻常活动“被发送给IP地址的大量数据没有与合法用户联系在一起。

“从Exchange服务器仔细检查IIS日志显示相当严重的结果。日志显示了与Outlook Web Access(OWA)使用的图像,JavaScript,级联样式表和字体相关联的有效文件的帖子请求。 volexity观察到攻击者专注于获取目标邮箱的电子邮件列表并下载它们。“

Redmond还感谢Orange Tsai从Devcore Research Team,Dubex以及自己的Microsoft威胁情报中心发现和报告孔。 Microsoft命名为Cloud文件锁定器Mega.nz,由Kim Dotcom创建的服务,作为Hafnium的首选目的地之一,用于exfiltrated数据。

虽然零日攻击不对混浊的交换,但微软的云消息服务的用户需要小心,因为它巨头表示它已经看到铪“与受害者办公室365租户互动。”

“虽然它们经常在妥协客户账户时不成功,但这种侦察活动有助于对手确定有关目标环境的更多细节,”微软表示。

补丁asap但以管理员身份登录。如果您无法修补,调整端口443并通过手指交叉

微软已链接到并为修补程序提供安装说明 这里。不出所料,微软建议快速修补,但如果您的环境中存在问题,超级公司的安全专家会提供一些救济。

咨询 状态:“初始攻击需要能够进行与Exchange Server端口443的不受信任的连接。这可以通过限制不受信任的连接来保护,或者通过设置VPN将Exchange服务器从外部访问分离。”

然而,备忘录也警告说:“这种缓解只会保护攻击攻击的初始部分;如果攻击者已经访问或可以说服管理员运行恶意文件,则可以触发链条的其他部分。

中国

危险的不披露?在公开之中多年来,中国克隆和使用'NSA零日漏洞利用

阅读更多

从Microsoft的补丁取代了Exchange Server 2019的2月9日安全更新的事实中,还有一些更加宽慰,因此如果您有点落后,那不是最延迟的最糟糕的更新。

但是,如果您修补,请仔细执行,因为软件Titan警告,如果您未以管理员身份登录,则不会正确安装某些文件,并且您将不会通知您的问题。如果Web上的Outlook和Exchange Control Panel停止工作,您将会知道您已经完成了错误。但他们并不总是停止。

那个好运。

还提供有关如何检测您的环境是否受到铪妥协的详细信息。

微软表示已通知美国政府的袭击事件。这意味着拜登政府现在拥有归属于俄罗斯 Solarwinds. 后门惨败以及其板块的归属于中国霍尼姆恐怖。 Solarwinds被认为已经受到损害了三年。但微软尚未说铪的活跃程度有多长。 ®


咬住它的手©1998-2021