早在2022年7月的一起攻击事件中,恶意攻击者通过先前部署在被入侵Exchange Server上的Web Shell,成功升级取得AD目录服务的管理者权限,随后不但窃取大约1.3TB的资料,并通过加密的方式对网络系统发动LockBit勒索软件攻击。对于这个新的零时差漏洞攻击事件,微软正在着手调查。
针对这起攻击件,韩国网络安全公司AhnLab在聘请鉴识分析专家协助调查后表示,从Web Shell被上传起,威胁发动者仅用一周的时间就劫持了AD管理账号。该公司进一步分析指出,这次黑客很可能通过一个“未披露的零时差漏洞”入侵Exchange Server,因为受害者早在2021年12月先前的一起入侵攻击之后,就已获得微软的技术支持而部署了季度安全更新修补程序。
由于在今年5月之后披露的漏洞中,并没有与远程命令或文件创建相关的漏洞通报,再加上WebShell是在7月21日创建的,所以由此可以推断攻击者使用了一个未被披露的零时差漏洞。
虽然微软目前正在开发安全修补程序,以解决两个以CVE-2022-41040与CVE-2022-41082编号加以关注的微软Exchange零时差漏洞。但AhnLab补充说,这与7月被用来获取Exchange服务器访问权限的安全漏洞可能不同,因为攻击策略并不相同,由此推论,应该是不同攻击者使用了不同的零时差漏洞。
除此之外,安全方案供应商趋势科技掌握了其他三个未披露Exchange漏洞,并提供“疫苗”来封锁可能的攻击企图。这三个漏洞是由趋势科技零时差计划(Zero Day Initiative,ZDI)漏洞研究人员Piotr Bazydlo发现并在三周前通报微软,趋势科技在其分析人员验证该问题后,分别以ZDI-CAN-18881、ZDI-CAN-18882及ZDI-CAN-18932三个漏洞编号来加以关注。
该公司自2022年10月4日起,已将侦测三个Exchange零时差漏洞的特征码添加至旗下IPS N-Platform、NX-Platform或TPS产品上。但自从这三个安全漏洞被通报以来,微软并未披露任何相关资讯,也未指定CVE编号来进行关注。
(首图来源:Microsoft, Public domain, via Wikimedia Commons)