资讯专栏INFORMATION COLUMN

Microsoft Exchange服务器被新的LockFile勒索软件入侵

番茄西红柿 / 3341人阅读

摘要:在利用最近披露的漏洞入侵服务器后,一个名为的新的勒索软件团伙对域进行加密。据上周报道,这导致攻击者积极使用漏洞扫描并攻击微软服务器。超过台服务器易受攻击尽管微软在今年月和月修补了这三个漏洞。

在利用最近披露的ProxyShell漏洞入侵Microsoft Exchange服务器后,一个名为LockFile的新的勒索软件团伙对Windows域进行加密。

ProxyShell是由三个连锁Microsoft Exchange漏洞组成攻击的名称,这些漏洞导致未经身份验证的远程代码执行。

Devcore首席安全研究员Orange Tsai在今年4月份Pwn2Own 2021黑客大赛中发现它们,将它们链接在一起以接管Microsoft Exchange 服务器 。

CVE-2021-34473 - 预身份验证路径混淆导致ACL绕过(KB5001779于4月修补)

CVE-2021-34523 - Exchange PowerShell后端的特权提升(KB5001779于4月修补)

CVE-2021-31207 - 授权后任意文件写入导致 RCE(KB5003435于5月修补)

虽然微软在2021年5月完全修补了这些漏洞,但最近披露了更多的技术细节,允许安全研究人员和威胁参与者复制该漏洞。

据BleepingComputer上周报道,这导致攻击者积极使用ProxyShell漏洞扫描并攻击微软Exchange服务器。在利用Exchange服务器后,攻击者投放了可用于上传其他程序并执行它们的web shell。

NCC Group的漏洞研究员 Rich Warren称,Web shell被用于安装 .NET 后门,该后门下载了无害的有效负载。

此后,一种名为LockFile的新勒索软件操作使用Microsoft Exchange ProxyShell和 Windows PetitPotam漏洞来接管Windows域并加密设备。

在破坏网络时,攻击者将首先使用ProxyShell漏洞访问内部部署的Microsoft Exchange服务器。赛门铁克表示,一旦他们站稳脚跟,LockFile 团伙就会使用 PetitPotam漏洞来接管域控制器,从而接管Windows域。

关于LockFile勒索软件

目前,关于新的LockFile勒索软件操作还不太清楚。

今年7月首次看到这封勒索信时,它的名字是“LOCKFILE-README”。Hta ,但没有任何特定的品牌,如下所示。

旧的 LockFile 赎金记录.jpg

从上周开始,BleepingComputer开始收到勒索软件团伙的报告,该团伙使用带有标记的勒索笔记,表明它们被称为“LockFile”,如下所示。

这些赎金票据使用“[victim_name]-LOCKFILE-README.hta”的命名格式,并提示受害者通过Tox或电子邮件与他们联系以协商赎金。该操作使用的当前电子邮件地址是contact@contipauper.com,这似乎参考了Conti勒索软件的操作。当加密文件时,勒索软件将附加.lockfile扩展名到加密文件的名称。

LockFileRansomNote.png

超过30,400台Exchange服务器易受攻击

尽管微软在今年5月和7月修补了这三个漏洞。但就像今年3月和4月披露的 ProxyLogon和ProxyOracle一样,并非所有服务器管理员都及时修补易受攻击的系统。

在ProxyShell概念验证代码发布两天后,ISC SANS于8月8日进行一次扫描,发现总共 100,000个系统中的30,400多台Exchange服务器尚未修补,并且仍然容易受到攻击。

尽快打补丁

由于LockFile操作同时使用Microsoft Exchange ProxyShell漏洞和Windows PetitPotam NTLM Relay漏洞,因此Windows管理员必须安装最新的更新。

对于ProxyShell漏洞,您可以安装最新的Microsoft Exchange累积更新来修补该漏洞。

要修补PetitPotam攻击,你可以使用一个非官方的补丁从0patch来阻止这个NTLM中继攻击向量,或者应用NETSH RPC过滤器来阻止对MS-EFSRPC API中脆弱函数的访问。

Beaumont表示可以执行以下Azure Sentinel查询来检查Microsoft Exchange服务器是否已扫描ProxyShell漏洞。

W3CIISLog

| where csUriStem == "/autodiscover/autodiscover.json"

| where csUriQuery has "PowerShell" | where csMethod == "POST"

强烈建议所有组织尽快应用补丁并为其Exchange服务器创建脱机备份。

启示

美国国家标准与技术局(NIST)、国家漏洞数据库(NVD)数据显示,90%以上的网络安全问题是由软件自身的安全漏洞被利用导致,由此可见软件中漏洞为网络安全带来极大危害。从以上可以看出,尽管软件开发公司已针对漏洞及时发布补丁,但未进行修正的企业仍旧大量存在,网络安全与漏洞之间存在一场较量,谨慎预防网络攻击的公司成为最后赢家。随着敏捷开发盛行软件开发周期逐渐缩短,面对潜藏的网络攻击者和恶意软件,软件安全需置于开发首位。调查显示,超过六成的安全漏洞与代码有关,而通过静态代码检测可以减少30-70%的安全漏洞,结合SCA、动态应用安全测试等方式,在软件开发期间确保软件安全,不但为网络安全打好基础,也将企业修复漏洞成本降至最低。

参读链接:

www.bleepingcomputer.com/news/securi…

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/118542.html

相关文章

  • LockFile勒索软件使用前所未有的加密技术逃避检测

    摘要:而且此前从未见过在勒索软件攻击中使用间歇性加密。在那里发现了勒索软件的主要功能,第一部分初始化了一个加密库,可能将其用于其加密功能。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body ...

    DandJ 评论0 收藏0
  • Microsoft Exchange自动发现漏洞泄漏100K个Windows凭据

    摘要:微软对于使用和发送凭据的客户端,创建了一种称为的攻击,强制客户端将请求降级为基本身份验证请求。微软发言人表示,目前正在积极采取措施保护使用者,并致力于漏洞披露问题以降低客户不必要的风险。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden...

    番茄西红柿 评论0 收藏2637
  • 勒索病毒加固方案

    8月28日起,一条某流行企业财务软件0day漏洞或被大规模勒索利用的消息在行业内开始流传。8月29日,根据国内知名社区爆料,疑似以某知名管理软件厂商为代表的国产管理软件出现勒索病毒大爆发。为避免UCloud云上用户遭受勒索病毒的攻击,UCloud特推出勒索病毒加固方案,为用户的数据安全保驾护航~精确到秒级恢复,实时数据保护支持12小时内恢复任一秒,24小时内任意整点时刻数据恢复,尽可能的避免数据丢...

    社区管理员 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<