行業(yè)動態(tài)

研究人員繞過了微軟更新的"ProxyNotShell "漏洞修復指導方案

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2022-10-17    瀏覽次數(shù):
 

信息來源:嘶吼

據(jù)其中幾位花了幾周時間研究漏洞的安全研究人員說,發(fā)現(xiàn)目前為這些漏洞(俗稱 "ProxyNotShell")所提供的修復建議并不足以完全解決這些問題。

網(wǎng)絡(luò)安全公司Huntress的高級threatOps分析師團隊負責人Dray Agha解釋說,微軟提供的原始修復措施是很容易被惡意利用的。

他說,由于這種緩解措施很容易被繞過,所以那些使用了原始修復措施的服務器現(xiàn)在仍然是很脆弱的。截至周二,微軟已經(jīng)重新更新了緩解措施的腳本,并考慮到了這種被繞過的情況。

但是不幸的是,我們很可能會看到這將會成為一場貓捉老鼠的游戲,因為攻擊者和安全研究人員都在尋找新的方法來繞過微軟的緩解措施。

上周,在越南網(wǎng)絡(luò)安全公司GTSC的報告中,微軟確認它目前正在調(diào)查這些問題,這些漏洞也正在野外被利用。GTSC向 趨勢科技的零日計劃報告了這個問題,該計劃也確認了這些漏洞的存在。

微軟表示,它觀察到目前在全球有不到10個組織被這些漏洞攻擊。

該公司的安全團隊解釋說,黑客組織很可能是一個國家支持的組織,他們主要利用兩個漏洞。

第一個是服務器端請求偽造漏洞,該漏洞被指定為CVE-2022-41040,它可以讓擁有郵件服務器上用戶賬戶憑證的攻擊者獲得未經(jīng)授權(quán)的訪問級別。第二個漏洞被定為CVE-2022-41082,該漏洞允許攻擊者遠程代碼執(zhí)行,這類似于2021年給許多公司造成混亂的ProxyShell漏洞。GTSC表示,它目前還不方便公布這些漏洞的技術(shù)細節(jié)。

遠程代碼執(zhí)行漏洞被認為是特別危險的,因為它們使攻擊者可以對受害者的系統(tǒng)進行修改。電子郵件也是許多企業(yè)日常辦公的重要軟件,并且內(nèi)部可能會包含很多敏感信息,這也使得它們成為了攻擊者的首要目標。

網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)在發(fā)現(xiàn)這兩個漏洞數(shù)小時后,已將其添加到已知被利用的漏洞列表中,而微軟在周四也證實,這些漏洞目前也正在被攻擊者利用,并已經(jīng)影響到那些運行的微軟Exchange Server 2013、2016和2019。

Huntress高級安全研究員約翰-哈蒙德證實,微軟最初的緩解措施可以很容易地被繞過,但他指出,微軟目前已經(jīng)提供了更新的自動化工具,可以使那些打了官方補丁的服務器獲得更好的保護。

Sophos公司首席研究科學家Chester Wisniewski說,目前已知只有極少數(shù)的服務器由于這一漏洞受到了攻擊,這也為我們大家爭取了一點時間來實施緩解措施。

Wisniewski說,我們都還在等待官方補丁的發(fā)布,IT團隊應該迅速做好準備,在官方補丁發(fā)布后盡快對漏洞進行修復,因為我們預計攻擊者會在補丁發(fā)布后極短的時間內(nèi)進行逆向工程,研究如何去利用這個漏洞。

Tenable的Claire Tills解釋說,這些漏洞似乎是ProxyShell的變種,Proxyshell漏洞是2021年底被披露的一連串漏洞。

Tills說,最明顯的區(qū)別是,這兩個最新的漏洞都需要身份認證,而ProxyShell并不需要。

她補充說,ProxyShell是2021年發(fā)布的被利用最多的攻擊鏈之一。

網(wǎng)絡(luò)犯罪獲得的利益

一些研究人員說,他們看到GitHub上有人出售虛假的漏洞利用工具,F(xiàn)lashpoint研究人員說,他們在俄語黑客和惡意軟件論壇Exploit上看到一個漏洞被以25萬美元出售。但是他們無法核實該漏洞是真的還是假的。

Flashpoint和其他幾位專家一樣,也對微軟所認為的Exchange Online客戶不需要采取任何措施提出了異議。Flashpoint研究人員說,這可能會使客戶陷入一種錯誤的安全感中,客戶即使遷移到了Exchange Online,但同時也在內(nèi)部保留了一臺混合的服務器。

他們說,在這種情況下,客戶仍然需要對混合服務器進行處置。

根據(jù)微軟發(fā)布的關(guān)于Exchange服務器更新的一般指導,即使你只在企業(yè)內(nèi)部使用Exchange服務器來管理Exchange相關(guān)對象,你也需要保持服務器處于最新版本。

不幸的是,一些研究人員已經(jīng)找到了繞過微軟最近發(fā)布的最新緩解措施的方法。

Vulcan Cyber的高級技術(shù)工程師Mike Parkin指出,希望微軟能夠盡快發(fā)布補丁,以解決眾多有潛在風險的企業(yè)內(nèi)部Exchange服務器的問題。

 
 

上一篇:高危!最新發(fā)現(xiàn)的西門子工業(yè)網(wǎng)絡(luò)軟件漏洞已影響多款產(chǎn)品

下一篇:2022年10月17日聚銘安全速遞