Microsoft Exchange Server零日漏洞

微软公司在本地版本的Exchange Server中利用四个零日漏洞进行了严重攻击，据信是由国家赞助的威胁参与者。微软已经开始以HAFNIUM的名义监视该黑客组织的活动。根据他们的发现，该组织位于中国，并得到中国政府的支持。

通过这些漏洞，黑客可以非法获取对Exchange Server的访问权限并创建一个Web Shell，该Web Shell使他们可以对系统进行远程控制。攻击的主要目的是访问受害者的电子邮件帐户和Exchange脱机通讯簿中包含的敏感数据。但是，Web Shell还允许丢弃其他恶意软件有效载荷。在HAFNIUM攻击中，该功能用于确保对受害者系统的长时间访问。

攻击信息公开后，Microsoft检测到多个其他威胁参与者，将零时差漏洞纳入了其操作。在短短9天之内，通过四个安全漏洞发现了新的勒索软件威胁。威胁名为DearCry，这是对臭名昭著的WannaCry恶意软件的致敬，该恶意软件在利用一组不同的Microsoft漏洞的攻击中感染了世界各地的用户。

四个零日漏洞利用发起了攻击

HAFNIUM和其他威胁行为者利用的零日跟踪记录为CVE-2021-26855，CVE-2021-26857，CVE-2021-26858和CVE-2021-27065。

第一个漏洞CVE-2021-26855是服务器端请求伪造（SSRF）漏洞，攻击者可以利用该漏洞发送任意HTTP请求并通过Exchange Server进行身份验证。

CVE-2021-26857是统一消息服务中的不安全的反序列化漏洞。简而言之，利用此漏洞，攻击者可以在Exchange服务器上的SYSTEM上运行代码。

最后两个漏洞-CVE-2021-26858和CVE-2021-27065，都包含身份验证后的任意文件写入漏洞。

Microsoft发布了缓解攻击的安全补丁和工具

受到破坏之后，由于严重性，Microsoft发布了一些安全更新程序，以修补其Exchange Server较旧版本中的漏洞。该技术巨头还发布了一个安全博客，其中包含观察到的IoC（危害指标），检测指南和高级搜索查询，以便客户更好地了解在哪里检查潜在恶意活动的迹象。

为了帮助没有专门的网络安全或IT部门的较小客户，Microsoft还发布了一键缓解工具。当客户准备安装适当的安全更新时，Microsoft Exchange本地缓解工具旨在用作Exchange Server 2013、2016和2019部署上的临时安全措施。