Exchange再中招?补丁不打,被动挨打!内附补丁下载链接~
固然微软在2021年5月份就已经对Hive讹诈软件发布了Exchange办事器的平安补钉,完成了ProxyShell破绽修复,但仍旧存在部门组织未及时更新。从而被黑客操纵招致了那一波新讹诈。
微软Exchange办事的ProxyShell平安问题,由三个cve构成,别离是:
— CVE-2021-34473 Microsoft Exchange ACL绕过破绽
— CVE-2021-34523 Microsoft Exchange权限提拔破绽
— CVE-2021-31207 Microsoft Exchange受权肆意文件写入破绽
从入侵到加密讹诈黑客通过ProxyShell破绽,能够未经身份验证攻击表露互联网上的Microsoft Exchange Server 施行肆意号令,此破绽遭到各个讹诈系列软件的喜好,如Conti、BlackByte、Babuk、Cuba和LockFile等。
BlackByte有平安查询拜访机构发现,黑客在胜利操纵ProxyShell破绽后,会在摆设 Exchange目次下植入4个WebShell,并以办理员权限施行 PowerShell 代码下载 Cobalt Strike 后门。利用的WebShell后门来自一个5年前公开的代码,在胜利获取办事器权限后,黑客会利用 Mimikatz (一款功用强大的轻量级调试神器)东西来窃取域办理员的NTLM 哈希值,并获得对该账户的控造。在胜利入侵后,Hive 停止了一些发现,它摆设了收集扫描仪来存储 IP 地址,扫描文件名中含有"密码"的文件,并测验考试RDP进入备份办事器以拜候敏感资产。
图片来自于新锐青年 侵删在获取更多设备权限后,下载运行Hive讹诈软件,停止大量的文件搜刮,找到最有价值的数据后停止加密,迫使受害者付出赎金。有关于它的操纵手艺细节曲到如今才被各个家族式的讹诈软件所普遍利用,一度成为攻击频次更高的讹诈软件之一。
影响范畴
Microsoft Exchange Server 2010
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Microsoft Exchange Server 2019
平安修复补钉
CVE-2021-34473补钉修复,可拜见微软官网 KB5001779.
CVE-2021-34523 补钉修复,可拜见微软官网 KB5001779.
CVE-2021-31207 补钉修复,可拜见微软官网 KB5003435.
下载链接:
https://msrc.microsoft.com/update-guide/
(此为34473补钉中转链接,其余补钉在此链接内间接搜刮编号根据对应版本下载即可)
建议广阔客户及时确认Exchange邮件办事器版本,并停止平安补钉,晋级前请务必对重要数据做好备份,以防晋级过程中呈现未知问题。
关于守内安
Softnext守内安有着专业的收集内容平安应用计划的研发团队,17年来专注于邮件平安以及收集内容平安的风险管控,针对邮件网关,防泄密,防攻击,归档等4个维度动身及时供给应对最新威胁的邮件平安产物,努力于实现“办事·品量·值得相信”的全新品牌理念。
17年磨一剑,实正努力于为所有用户供给合法合规,简单易用的邮件平安计划整合供给商。