據(jù)The Hacker News消息，微軟正敦促客戶更新他們的 Exchange 服務(wù)器，并采取措施加強(qiáng)環(huán)境，例如啟用Windows 擴(kuò)展保護(hù)和配置基于證書(shū)的 PowerShell 序列化有效負(fù)載簽名。

微軟 Exchange團(tuán)隊(duì)表示，未打補(bǔ)丁的本地 Exchange 環(huán)境通常會(huì)被攻擊者盯上，進(jìn)行包括數(shù)據(jù)泄露等方面在內(nèi)的各種惡意攻擊，并強(qiáng)調(diào)，微軟發(fā)布的緩解措施只是權(quán)宜之計(jì)，可能不足以抵御各種攻擊，用戶必須安裝必要的安全更新來(lái)保護(hù)服務(wù)器。

近年來(lái)， Exchange Server 已被證明是一種十分有利可圖的攻擊媒介，其中的許多安全漏洞曾被用做零日攻擊。僅在過(guò)去兩年中，就在 Exchange Server 中發(fā)現(xiàn)了包括ProxyLogon、ProxyOracle、ProxyShell、ProxyToken、ProxyNotShell和稱為OWASSRF ProxyNotShell 緩解繞過(guò)在內(nèi)的幾組漏洞，其中一些已在野外受到廣泛利用。

在近期由Bitdefender 發(fā)布的技術(shù)咨詢中，記錄了自 2022 年 11 月下旬以來(lái)涉及 ProxyNotShell / OWASSRF 漏洞利用鏈的一些攻擊手法，通過(guò)服務(wù)器端請(qǐng)求偽造 ( SSRF) 攻擊，能讓攻擊者從易受攻擊的服務(wù)器向其他服務(wù)器發(fā)送精心設(shè)計(jì)的惡意請(qǐng)求，以訪問(wèn)無(wú)法直接獲取的資源或信息。這些漏洞武器化的攻擊被用來(lái)針對(duì)奧地利、科威特、波蘭、土耳其、美國(guó)的藝術(shù)娛樂(lè)、咨詢、法律、制造、房地產(chǎn)和批發(fā)行業(yè)。

據(jù)稱，雖然大多數(shù)攻擊不是集中和有針對(duì)性的，但仍會(huì)被嘗試部署 Web shell 和遠(yuǎn)程監(jiān)控和管理 (RMM) 軟件，例如 ConnectWise Control 和 GoTo Resolve。Web shell 不僅提供持久的遠(yuǎn)程訪問(wèn)機(jī)制，還允許攻擊者進(jìn)行范圍廣泛的后續(xù)活動(dòng)，甚至將訪問(wèn)權(quán)出售給其他黑客組織以牟利。