发布编号:TACERT-ANA-2022100311105858
发布时间:2022-10-03 11:14:59
事故类型:ANA-漏洞预警
发现时间:2022-10-03 11:08:59
影响等级:低
[主旨说明:]
【漏洞预警】骇客攻陷微软Exchange服务器的RCE零时差漏洞
[内容说明:]
转发 科学园区资安资讯分享与分析中心 SPISAC-ANA-202210-0002
越南资安业者GTSC指出,该公司在微软的Exchange服务器上发现了一个已遭开采的零时差远端程式攻击漏洞,迄今已确定至少已有一家以上的组织受害,并担心有其它受害组织并不知道自己已被骇客入侵。
GTSC提供的是安全监控中心(Security Operations Center,SOC)即服务(SOC as a Service),其SOC团队在今年8月初发现Exchange服务器遭到攻击,调查之后才发现骇客所利用的是一个尚未被公开的零时差漏洞。收到通报的趋势科技Zero Day Initiative(ZDI)团队已验证过该漏洞,并认为它涉及两个安全漏洞。ZDI赋予这两个漏洞的暂时性编号为ZDI-CAN-18333与ZDI-CAN-18802,CVSS风险等级分别是8.8与6.3。
根据GTSC的分析,骇客的攻击手法类似针对ProxyShell漏洞的攻击,且该公司团队已成功复制如何利用该漏洞存取Exchange后端元件,进而执行远端程式攻击。此外,骇客不仅于受害系统上建立了据点,也透过不同的技术打造了后门,并于受害系统上横向移动至其它服务器。GTSC也侦测到骇客使用了于中国热门的Web Shell跨平台开源管理工具Antsword,来管理于受害Exchange服务器上所植入的Web Shell。
[影响平台:]
Microsoft Exchange Server 2013/2016/2019
[建议措施:]
GTSC提出了暂时性补救措施,建议组织可于IIS服务器上的URL Rewrite Rule模组上新增规则,以封锁带有攻击指标的请求。
微软也对此漏洞公布了缓解措施与检测指南,建议Microsoft Exchange Server 2013/2016/2019的用户,在微软释出更新修补前,可以采取这些行动。
[参考资料:]
2. Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server
(此通报仅在于告知相关资讯,并非为资安事件),如果您对此通报的内容有疑问或有关于此事件的建议,欢迎与我们连络。
教育机构资安通报应变小组
网址:https://info.cert.tanet.edu.tw/
专线电话:07-5250211
网络电话:98400000
E-Mail:service@cert.tanet.edu.tw
