微软：中国计算机间谍使用4台Exchange Server漏洞来掠夺电子邮件

微软公司今天发布了软件更新，以填补攻击者用来掠夺使用其Exchange Server产品的公司的电子邮件通信的四个安全漏洞。该公司表示，这四个漏洞正在作为一个未知的中国网络间谍组织部署的复杂攻击链的一部分，正在得到积极利用。

该软件巨头通常在每个月的第二个星期二发布安全更新，但在解决针对其产品中新发现和严重漏洞的主动攻击时，有时会偏离该计划。

今天发布的补丁修复了Microsoft Exchange Server 2013、2016和2019中的安全问题。微软表示，其Exchange Online服务（基本上是为企业托管的电子邮件）不受这些漏洞的影响。

微软赞扬了总部位于弗吉尼亚州雷斯顿的研究人员Volexity报告了这些攻击。 Volexity总裁Steven Adair告诉KrebsOnSecurity，它首先在2021年1月6日发现了这些攻击。

Adair表示，虽然该小组使用的漏洞利用程序可能已经掌握了很好的开发技能，但他们几乎不需要使用任何技术知识，并且如果攻击者的易受攻击的Exchange服务器直接暴露于Internet，它们可以使攻击者轻松访问组织的所有电子邮件。 。

“这些缺陷非常容易利用，” Adair说。 “利用这些漏洞，您不需要任何特殊知识。您只要出现并说“我想打扰并阅读他们的所有电子邮件。”这就是全部。”

微软表示，该漏洞被一个以前不知名的中国间谍组织使用，该组织被称为“ Ha”。该组织利用位于美国的托管公司发起攻击。

微软表示：“ H主要针对美国多个行业的实体，包括传染病研究人员，律师事务所，高等教育机构，国防承包商，政策智囊团和非政府组织。” “ HAFNIUM以前通过利用面向Internet的服务器中的漏洞来折衷受害者。一旦他们获得了受害网络的访问权后，HAFNIUM通常会将数据渗出到MEGA之类的文件共享站点。”

据微软称，Ha攻击者已被发现将所有四个零日漏洞组合在一起，以运行易受攻击的Exchange Server产品的组织为目标。

CVE-2021-26855是一个“服务器端请求伪造”（SSRF）缺陷，在该缺陷中，服务器（在这种情况下为本地Exchange Server）可能会被诱骗到运行本不应被允许运行的命令中，例如通过Exchange服务器本身进行身份验证。

攻击者使用CVE-2021-26857在目标Exchange服务器上的“系统”帐户下运行他们选择的代码。其他两个零时差漏洞（CVE-2021-26858和CVE-2021-27065）可能使攻击者可以将文件写入服务器的任何部分。

微软表示，利用这些漏洞获得初始访问权限后，Ha运营商在受感染的服务器上部署了Web Shell。 Web Shell本质上是软件后门，它使攻击者可以窃取数据并执行其他恶意操作，从而进一步破坏安全性。

Microsoft和Volexity都不知道允许其他网络犯罪分子利用这些Exchange漏洞的公开代码。但是鉴于这些攻击现在很普遍，利用攻击代码可以在线公开获取仅需几天的时间。

微软强调，今天详细介绍的漏洞利用程序与单独的与SolarWinds相关的攻击没有任何关系。该公司表示：“我们仍然看不到有证据表明SolarWinds背后的参与者发现或利用了Microsoft产品和服务中的任何漏洞。”