Microsoft Exchange Server零日漏洞

微軟公司在本地版本的Exchange Server中利用四個零日漏洞進行了嚴重攻擊，據信是由國家贊助的威脅參與者。微軟已經開始以HAFNIUM的名義監視該黑客組織的活動。根據他們的發現，該組織位於中國，並得到中國政府的支持。

通過這些漏洞，黑客可以非法獲取對Exchange Server的訪問權限，並創建一個Web Shell，從而使他們可以對系統進行遠程控制。攻擊的主要目的是訪問受害者的電子郵件帳戶和Exchange脫機通訊簿中包含的敏感數據。但是，Web Shell還允許丟棄其他惡意軟件有效載荷。在HAFNIUM攻擊中，該功能用於確保對受害者係統的長時間訪問。

攻擊信息公開後，Microsoft檢測到多個其他威脅參與者，將零時差漏洞納入了其操作。在短短9天之內，就通過四個安全漏洞發現了新的勒索軟件威脅。威脅名為DearCry，這是對臭名昭著的WannaCry惡意軟件的致敬，該惡意軟件在利用一組不同的Microsoft漏洞的攻擊中感染了世界各地的用戶。

四個零日漏洞利用發起了攻擊

HAFNIUM和其他威脅行為者利用的零日跟踪記錄為CVE-2021-26855，CVE-2021-26857，CVE-2021-26858和CVE-2021-27065。

第一個漏洞CVE-2021-26855是服務器端請求偽造（SSRF）漏洞，攻擊者可以利用該漏洞發送任意HTTP請求並通過Exchange Server進行身份驗證。

CVE-2021-26857是統一消息服務中的不安全的反序列化漏洞。簡而言之，利用此漏洞，攻擊者可以在Exchange服務器上的SYSTEM上運行代碼。

最後兩個漏洞-CVE-2021-26858和CVE-2021-27065，都包含身份驗證後的任意文件寫入漏洞。

Microsoft發布了緩解攻擊的安全補丁和工具

受到破壞之後，由於嚴重性，Microsoft發布了一些安全更新程序，以修補其Exchange Server較舊版本中的漏洞。該技術巨頭還發布了一個安全博客，其中包含觀察到的IoC（危害指標），檢測指南和高級搜索查詢，以便客戶更好地了解在哪裡檢查潛在惡意活動的跡象。

為了幫助沒有專門的網絡安全或IT部門的較小客戶，Microsoft還發布了一鍵緩解工具。當客戶準備安裝適當的安全更新時，Microsoft Exchange本地緩解工具旨在用作Exchange Server 2013、2016和2019部署上的臨時安全措施。