越南安全企业GTSC本周指出,该公司在微软的Exchange服务器上发现了一个已遭开采的零时差远程程序攻击漏洞,迄今已确定至少已有一家以上的组织受害,并担心有其它受害组织并不知道自己已被黑客入侵。
GTSC提供的是安全监控中心(Security Operations Center,SOC)即服务(SOC as a Service),其SOC团队在今年8月初发现Exchange服务器遭到攻击,调查之后才发现黑客所利用的是一个尚未被公开的零时差漏洞。收到通报的趋势科技Zero Day Initiative(ZDI)团队已验证过该漏洞,并认为它涉及两个安全漏洞。
ZDI赋给这两个漏洞的暂时性编号为ZDI-CAN-18333与ZDI-CAN-18802,CVSS风险等级分别是8.8与6.3。
根据GTSC的分析,黑客的攻击手法类似针对ProxyShell漏洞的攻击,且该公司团队已成功复制如何利用该漏洞访问Exchange后端组件,进而执行远程程序攻击。
此外,黑客不仅于受害系统上创建了据点,也通过不同的技术打造了后门,并于受害系统上横向移动至其它服务器。GTSC也侦测到黑客使用了于中国热门的Web Shell跨平台开源管理工具Antsword,来管理于受害Exchange服务器上所植入的Web Shell。
为了避免其它组织在微软尚未修补该漏洞前遭到攻击,GTSC提出了暂时性补救措施,建议组织可于IIS服务器上的URL Rewrite Rule模块上添加规则,以封锁带有攻击指标的请求。
关于这次从攻击活动调查中所发现的微软Exchange服务器零时差漏洞,随着越南安全服务企业GTSC已通报ZDI与微软,除了ZDI已经验证这两个漏洞,而在GTSC发文披露的同时,微软也对此漏洞公布了缓解措施与检测指南,建议Microsoft Exchange Server 2013/2016/2019的用户,在微软发布更新修补前,可以采取这些行动。同时,微软也透露了两个漏洞的编号,第一个是CVE-2022-41040的SSRF漏洞,第二个是CVE-2022-41082的RCE漏洞。文⊙iThome安全主编罗正汉