微软督促客户修复本地 Exchange 服务器

微软Exchange 团队在博客文章中指出，”寻求利用未修复Exchange服务器的攻击者不会离开。很多未修复的本地Exchange环境易受攻击，被提取数据或被实施其它恶意行为。“

微软还强调称，所发布的缓解措施仅仅是临时解决方案，“不足以防御所有攻击变体”，用户应该安装必要安全更新以保护服务器的安全。

近年来，Exchange 服务器已成为非常有吸引力的攻击向量，该软件中的很多安全漏洞都被武器化为入侵系统的0day。

单在过去两年内，Exchange服务器中就出现了多个漏洞，如ProxyLogon、ProxyOracle、ProxyShell、ProxyToken、ProxyNotShell以及ProxyNotShell 缓解绕过OWASSRF等，其中一些漏洞已遭大规模在野利用。

Bitdefender在本周发布的一份技术公告中将Exchange 描述为一种“理想目标“，同时按时间顺序列出了自2022年11月以来涉及 ProxyNotShell/OWASSRF 利用链的真实攻击活动。

Bitdefender 的研究员 Martni Zugec 提到，“Exchange 中存在一个复杂的前端和后端服务网络，遗留代码提供向后兼容性。后端服务信任源自前端客户端访问服务层的请求。“另外一个原因是多种后端服务以Exchange 本身运行，具有系统权限，而利用能够使得攻击者获得对远程 PowerShell 服务的越权访问权限，实际上为后续的恶意命令执行铺路。为此，利用ProxyNotShell 和 OWASSRF 漏洞的攻击者瞄准了位于奥地利、科威特、波兰、土耳其以及美国的艺术娱乐、咨询、法律、制造、房地产和零售行业。该公司指出，”这种类型的服务器端请求伪造 (SSRF) 攻击可使攻击者将易受攻击服务器的特殊构造请求发送给其它服务器，访问本无法直接访问的资源或信息。“

多数攻击被指是投机性质而非集中的具有目标性的，感染集中在对web shell和远程监控和管理软件如ConnectWise Control 和GoTo Resolve的部署尝试。Web shell不仅提供了持久的远程访问机制，还可使犯罪分子后续开展大规模的恶意活动，甚至将访问权限出售给其它黑客组织进行牟利。在某些情况下，用于托管payload的服务器已经是受陷的微软Exchange服务器本身，这说明同样的技术可能已被用于扩大攻击规模。另外，攻击者还尝试下载Cobalt Strike 以及基于Go的植入GoBackClient，收集系统信息并攻击反向shell。

微软Exchange服务器的多个漏洞还遭勒索软件利用。Zugec指出，“虽然初始感染向量一直在变化，但恶意人员迅速抓住新机会，并发动利用后活动。防御现代网络攻击的最佳方式是采取纵深防御架构。“

题图：Pexels License‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~