近期，Microsoft Exchange Server中四個關鍵的0 day漏洞的披露可謂震驚了整個信息安全社區(qū)，而利用這些漏洞的攻擊活動的迅速增長也加劇了人們的擔憂。

據(jù)悉，這4個0 day漏洞分別為：CVE-2021-26855、CVE-2021-26857、CVE-2021-26858以及CVE-2021-27065。

其中，CVE-2021-26855是Microsoft Exchange Server中的SSRF漏洞，未經身份驗證的遠程攻擊者可以通過將特制的HTTP請求發(fā)送到易受攻擊的Exchange Server來利用此漏洞。

CVE-2021-26857是Microsoft Exchange中的不安全的反序列化漏洞。具體來說，該漏洞存在于Exchange統(tǒng)一消息服務中，該服務除了其他功能外還啟用了語音郵件功能。要利用此漏洞，攻擊者需要使用管理員權限向易受攻擊的Exchange Server進行身份驗證，或者首先利用另一個漏洞。成功的利用將授予攻擊者任意的代碼執(zhí)行權限(SYSTEM)。

CVE-2021-26858和CVE-2021-27065都是Microsoft Exchange中的任意文件寫入漏洞。這些缺陷是身份驗證后的，這意味著攻擊者首先需要向易受攻擊的Exchange Server進行身份驗證，然后才能利用這些漏洞。一旦通過身份驗證，攻擊者便可以任意寫入易受攻擊的服務器上的任何路徑。

安全專家分析發(fā)現(xiàn)，利用這些漏洞的入侵行為至少可以追溯到2021年1月。它們最初是屬于有針對性的攻擊，像是出于間諜目的：攻擊者主要針對特定的電子郵件賬戶。在一篇博文中，Microsoft將對這些缺陷的利用歸因于一個名為“HAFNIUM”的國家背景資助的黑客組織。微軟博客稱，該組織歷來以美國機構為目標，其中包括“傳染病研究人員，律師事務所，高等教育機構，國防承包商，政策智囊團和非政府組織”。

然后，在2月的最后一個周末，研究人員注意到遠程代碼執(zhí)行方面出現(xiàn)了顯著增長的情況。攻擊者正在將Web Shell寫入磁盤并啟動操作以轉儲憑據(jù)、添加用戶帳戶、竊取Active Directory數(shù)據(jù)庫的副本以及橫向移動到其他系統(tǒng)。這些活動的激增也進一步加速了補丁發(fā)布的進程。

僅在幾天后，Microsoft就部署了其修補程序，同時，利用該漏洞的攻擊行為仍在持續(xù)升級。Check Point的研究報告了針對全球組織的數(shù)百次利用嘗試，在截至3月11日的24小時中，利用嘗試的數(shù)量每兩到三小時就會翻一番。其中，土耳其是受攻擊最多的國家，其次是美國和意大利。

研究人員還發(fā)現(xiàn)，利用這些漏洞的組織遠不止一個。ESET研究人員報告稱，至少有十個APT組織已經在使用這些漏洞，有些人在Microsoft補丁發(fā)布之前就已經開始利用這些漏洞。

自從這些漏洞被發(fā)現(xiàn)以來，幾乎每天都會出現(xiàn)有關攻擊者掃描和利用這些漏洞實施攻擊活動的新消息。Microsoft最近報告稱，一種以受損Exchange服務器為目標的新型勒索軟件也已應運而生。

接下來，我們將深入研究信息安全防御者在面臨此類情況時需要了解的一些信息：為什么需要關注威脅態(tài)勢，補丁程序面臨哪些挑戰(zhàn)，以及如何洞察妥協(xié)的相關跡象，以更好地幫助企業(yè)組織免受威脅影響。

1. 防御熱門目標

[[389494]]

DomainTools的威脅研究人員Joe Slowik表示，根據(jù)對手及其目標的不同，Microsoft Exchange Server歷來是吸引人的攻擊媒介。對于任何使用它的組織來說，它都是必不可少的組件，大多數(shù)組織都不想拋棄它，但是管理起來卻又存在一定困難。

Slowik表示，從非技術角度來看，我們必須將Exchange視為一種高可用性，高需求的服務。

當然，電子郵件不僅限于員工之間的交流。電子郵件還與訂購系統(tǒng)、報告系統(tǒng)以及各種其他功能相關。任何干擾該服務可用性的事情對于大多數(shù)企業(yè)來說都是不平凡的。Slowik解釋稱，

“Exchange是一個有趣的目標，其價值主要體現(xiàn)在兩個方面：其一，其本身作為信息存儲庫(包括電子郵件形式的敏感信息)所具備的價值;其二，因為Exchange可以與網絡中的每臺計算機進行通話，所以它也可以作為惡意行為者的攻擊入口，成為實現(xiàn)其最終目的的跳板。”

當然，Exchange服務器并不總是攻擊者的最終目標，已經侵入目標組織的攻擊者可以直接尋找域管理員或類似特權。雖然Exchange可能是實現(xiàn)此目標的有效途徑，但大多數(shù)攻擊者也可能會嘗試潛入域控制器。

但是，這些Exchange漏洞使外部入侵者更容易在目標組織中獲得廣泛的訪問權限。這無疑增加了攻擊者對Exchange漏洞利用的興趣，同時也加劇了企業(yè)組織必須采取行動的緊迫性。

2. 為什么這些漏洞如此危險

[[389495]]

在這類外部可訪問Exchange服務器的攻擊中，它可能會成為遠程訪問郵箱的有效途徑，這使得攻擊者能夠通過破壞管理員賬戶來進行企業(yè)電子郵件欺詐(BEC)和憑據(jù)網絡釣魚。

在Microsoft觀察到的攻擊中，攻擊者利用這些漏洞獲得了對本地Exchange服務器的初始訪問權限，然后該訪問權限允許對電子郵件帳戶的訪問，并協(xié)助安裝其他可實現(xiàn)長期網絡訪問的惡意軟件。許多人使用遠程訪問從目標中竊取大量數(shù)據(jù)，尤其是電子郵件。

由于每個企業(yè)組織都擁有電子郵件，并且Microsoft Exchange的使用如此廣泛，因此這些攻擊是非常嚴重的。更糟糕的是，這些服務器通?？梢栽陂_放的Internet上公開訪問，并且可以被遠程利用。

自從Microsoft在3月2日發(fā)布補丁程序以來，針對這些漏洞進行掃描和利用的攻擊者活動數(shù)量猛增。使用ESET追蹤威脅的研究人員已經在超過115個使用Web Shell的國家中發(fā)現(xiàn)了5,000多臺獨特服務器，并且他們報告稱，至少有十個APT組織正在使用該漏洞來定位服務器。

3. 應用相關補丁

[[389496]]

敦促組織盡快應用相關的安全更新。微軟表示，這些漏洞會影響Exchange Server 2013、2016和2019版本，Microsoft Exchange Online不受這些漏洞的影響。

Red Canary的高級威脅主管Katie Nickels表示，

“對于任何組織來說，最明顯的建議就是確保它們正在運行最新版本的Microsoft Exchange Server。特別是，他們必須要確保已經安裝針對CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065漏洞的修補程序。”

Microsoft已經發(fā)布了有關這些安全更新的博客文章，并回答有關補丁程序安裝的基本問題。據(jù)悉，該修補程序只能安裝在運行最新版本的服務器上。如果企業(yè)運行的是較舊的Exchange服務器，則建議先安裝最新版本，然后再安裝安全更新。

對于那些仍在運行較舊版本Exchange的Microsoft用戶，Microsoft已發(fā)布了一系列Exchange服務器安全更新，這些更新可用于某些較早且不受支持的版本。這是為了在攻擊加劇時能夠保護Exchange Server的舊版本。

由于利用這些漏洞需要通過Internet訪問HTTP，因此建議用戶首先在在線公開的Exchange服務器上安裝更新，例如發(fā)布Outlook Web Access(OWA)的服務器，然后再更新環(huán)境的其余部分。

4. Exchange Server是如何解決補丁問題的

[[389497]]

告訴企業(yè)組織打補丁很容易，但是對于許多組織來說，完成這一過程卻十分復雜——尤其是如果它們與Exchange更新不配適。

補丁更新過程存在很多困難，而且Exchange也是一種非常貪婪的服務。嘗試使用EDR產品以及其他類型的監(jiān)視和可見性運行Exchange往往會變得非常昂貴且占用大量資源。如果你嘗試調試和應用某種補丁，并在最小化影響的同時重新啟用服務……這會是一件非常困難的事情。

當然，這并非不可能打補丁，但這就是大型組織通常都有專門的Exchange管理員的原因。沒有這些資源的小型企業(yè)將度過更艱難的時期，i因為這些漏洞正在影響各種規(guī)模的組織。

對于那些無法立即修補其系統(tǒng)漏洞的企業(yè)組織，Microsoft已發(fā)布臨時緩解控件來限制漏洞利用：創(chuàng)建Internet信息服務(IIS)重寫規(guī)則，禁用統(tǒng)一消息服務以及禁用多個IIS應用程序池。Red Canary研究人員指出，這些措施可能會影響組織內部和外部Exchange服務的可用性，具體取決于組織使用的功能。雖然該臨時緩解能夠發(fā)揮一定效用，但是管理員不應將其視為永久性解決方案。

企業(yè)組織需要明確知道，未打補丁的服務器連接到網絡的時間越長，受到威脅的風險也就越大。盡管至關重要，但遺憾的是，目前很多組織仍未應用補丁程序修復漏洞。

5. 損害可能已經完成

安裝補丁程序是防范攻擊的必要措施，但是我們卻無法告訴管理員他們是否已經受到了攻擊——更別說解決正在進行的攻擊了。

如果Exchange服務器未打補丁并暴露在Internet上，那么企業(yè)應假設自己已經遭到攻擊并立即檢查攻擊活動。Exchange攻擊事件始于1月初，到補丁發(fā)布，攻擊者足足有2個月的時間尋找目標實施入侵活動，這2個月的時間內，幾乎沒有人知道該問題的存在。

如果你本身是個極具吸引力的目標，那么不利因素已經相當明顯了。這就意味著你不僅要調查過去幾天甚至一周內發(fā)生的事情，甚至還需要回溯過去幾個月內發(fā)生的事情。

在確定環(huán)境中所有本地Microsoft Exchange Server實例之后，F(xiàn)BI和網絡安全與基礎架構安全局(CISA)建議擁有專業(yè)知識的組織，可以使用收集工具對攻擊組件進行取證分類，以收集系統(tǒng)內存、系統(tǒng)Web日志、Windows事件日志和所有注冊表配置單元。 然后，他們應該檢查這些攻擊組件是否存在IOC或異常行為，例如憑證轉儲。

除此之外，還應該檢查可疑的進程和系統(tǒng)行為，尤其是在IIS和Exchange應用程序進程(例如PowerShell、Command shell以及在應用程序的地址空間中執(zhí)行的其他程序)的上下文中。

6. 尋找妥協(xié)的跡象

[[389498]]

安全公司RedCanary報告稱，研究人員觀察到大多數(shù)攻擊都涉及將Web Shell加載到文件系統(tǒng)上。一些攻擊者會將其用于持久性和其他后續(xù)攻擊活動中。因此建議企業(yè)組織對Web Shell進行監(jiān)視和防御，這樣既可以應對這種特定威脅，也可以應對未來可能發(fā)生的威脅。

Web Shell是一個非常棘手的安全問題，因為它們?yōu)E用服務器的固有特性來偵聽和接收通過HTTP或HTTPS進行的遠程通信。對于需要訪問的服務來說，又不能簡單地阻止這些服務及其連接。除非您能夠完全控制給定的Web服務器并執(zhí)行諸如跟蹤文件寫入到各種可訪問目錄的操作，否則Web Shell很難檢測和根除。

通過深入了解和觀察外部暴露的服務的正常行為，能夠更輕松地辨別出異常行為。Exchange是一臺服務器，而作為服務器，它將會接收來自各種客戶的通信并對此做出響應。但是，如果你看到網絡流量從電子郵件服務器流到臺式機或域控制器，這就很奇怪了，必須進一步檢查。

連接到這些植入Web Shell的Web服務器日志中的任何不熟悉的活動肯定表明存在問題，此外，用戶權限或管理員用戶的任何更改行為也可能會向防御者發(fā)出預警信號。跟蹤此類活動最有效的方法是從外部驗證漏洞，查找這些危害指標并監(jiān)視服務器上的網絡活動。

7. 減少攻擊面

[[389499]]

由于大多數(shù)“后漏洞利用階段”(post-exploitation)活動的實例都涉及Web Shell部署，因此“預修補程序”(pre-patch)緩解策略可以消除通過(遠程漏洞利用所需的)HTTPS從Internet對Exchange的直接訪問。

雖然這將限制訪問OWA等服務的便捷性，但組織可以通過虛擬網絡或其他門戶使這些服務可訪問，從而縮小攻擊面。總體而言，將OWA和其他面向外部的服務置于虛擬網絡的防護之下，可以使惡意行為(例如嘗試暴力破解或重用密碼)變得更加困難，從而幫助減少攻擊面。

當然，這只是減少攻擊面，而不是消除攻擊面。因為如果黑客知道僅需一個網絡釣魚手段就能進入目標環(huán)境，然后利用系統(tǒng)特權彈出Exchange，那么這種情況下，如果你正在本地運行Exchange的話，攻擊者很容易就能實現(xiàn)全面的網絡入侵。

8. 做好事件響應&緩解準備

[[389500]]

鑒于攻擊形勢日趨嚴重化，預計越來越多的組織將需要轉變?yōu)槭录憫途徑饽Ｊ健?/p>

Sophos Managed Threat Response高級主管Mat Gangwer表示，如果發(fā)現(xiàn)任何異?；蚩梢傻幕顒?，企業(yè)組織首先需要確定自身的暴露程度，由此來決定下一步應該怎么做。你需要了解該攻擊活動可能持續(xù)了多長時間或是已經造成了何種影響。Web shell的出現(xiàn)與補丁發(fā)布之間的時間差是多少?

一些組織可能會發(fā)起內部調查，另一些則可能會尋求外部事件響應團隊的支持。CISA官員建議，在收集了相關的入侵組件、日志和數(shù)據(jù)以進行進一步分析之后，企業(yè)組織可以考慮獲取第三方支持，并執(zhí)行緩解步驟，避免讓攻擊者知道他們的蹤跡已經暴露。

該官員表示，第三方組織可以在整個響應過程中幫助提供專業(yè)知識和技術支持，確保將攻擊者從網絡中移除，并避免在事件結束后出現(xiàn)任何會引發(fā)后續(xù)危害的殘留問題。事件響應中存在幾個常見的錯誤：無法保存關鍵日志數(shù)據(jù)，無法在響應者可以恢復數(shù)據(jù)之前緩解受影響的系統(tǒng)，而且僅能修復表面跡象，無法徹底解決問題。

如何知道到底什么時候進行事件響應?就目前的網絡形勢而言，企業(yè)組織不能等待問題的出現(xiàn)，而應該現(xiàn)在就行動起來，尋找網絡中存在的問題，一旦發(fā)現(xiàn)任何跡象，立即開始更深入的檢測。要知道，搶先攻擊一步并試圖縮短攻擊者潛伏網絡的時間將是問題的關鍵所在。越早檢測到問題，響應就是變得越容易。

本文翻譯自：https://www.darkreading.com/threat-intelligence/microsoft-exchange-server-attacks-9-lessons-for-defenders/d/d-id/1340400?image_number=2如若轉載，請注明原文地址。