一个人在线观看的www,亚洲一卡二卡三卡四卡18岁

首當(dāng)其沖的行業(yè)部門是政府/軍事部門 (27%)，其次是制造業(yè) (22%) 和軟件廠商 (9%)。

零日漏洞幕后故事

2021 年 3 月 3 日，Microsoft 為其全球最受歡迎的郵件服務(wù)器 Exchange Server 產(chǎn)品發(fā)布了一個緊急補丁。所有傳入和傳出電子郵件、日歷邀請以及在 Outlook 中訪問的幾乎所有內(nèi)容都會用到 Exchange 服務(wù)器。

1 月份，來自中國臺灣安全公司戴夫寇爾的 Orange Tsai（蔡政達）揭露了兩個漏洞。為確定這些漏洞的嚴重程度，Microsoft對其 Exchange 服務(wù)器作了進一步調(diào)查。調(diào)查又發(fā)現(xiàn)五個關(guān)鍵漏洞。

通過這些漏洞，攻擊者無需身份驗證或訪問個人電子郵件帳戶即可從 Exchange 服務(wù)器讀取電子郵件。而通過后面的漏洞鏈接，攻擊者則能夠完全接管郵件服務(wù)器。

一旦攻擊者接管了 Exchange 服務(wù)器，他們就可以將網(wǎng)絡(luò)連接至互聯(lián)網(wǎng)并開始遠程訪問。許多 Exchange 服務(wù)器都具有 internet exposer 功能（特別是 Outlook Web Access 功能)，并集成到更廣泛的網(wǎng)絡(luò)中，這對數(shù)百萬組織構(gòu)成了嚴重的安全風(fēng)險。

Just report a pre-auth RCE chain to the vendor. This might be the most serious RCE I have ever reported! Hope there is no bug collision or duplicate

剛向 Microsoft 報告了一個預(yù)認證 RCE。這可能是我見過的最嚴重的 RCE! 希望沒有 bug 碰撞或復(fù)制

2021 年 1 月 5 日，Orange Tsai（蔡政達）在推特上公布了預(yù)認證遠程代碼執(zhí)行鏈。

哪些組織面臨風(fēng)險？

如果企業(yè)或組織的的 Microsoft Exchange 服務(wù)器暴露在互聯(lián)網(wǎng)中，并且沒有使用最新的補丁程序進行更新，也沒有受到 Check Point 第三方軟件的保護，則應(yīng)該假定該服務(wù)器已全面淪陷。通過受感染的服務(wù)器，未經(jīng)授權(quán)的攻擊者能夠竊取企業(yè)電子郵件，并以高級權(quán)限在貴組織內(nèi)執(zhí)行惡意代碼。

技術(shù)解釋

CVE-2021-26855 — Exchange 中的一個服務(wù)器端請求偽造 (SSRF) 漏洞，允許攻擊者發(fā)送任意 HTTP 請求并通過 Exchange 服務(wù)器進行身份驗證。

CVE-2021-26857 — 統(tǒng)一消息服務(wù)中不安全的反序列化漏洞。不安全的反序列化是指程序?qū)Σ皇苄湃蔚挠脩艨煽財?shù)據(jù)進行反序列化。利用此漏洞，HAFNIUM 能夠在 Exchange 服務(wù)器上以系統(tǒng)身份運行代碼。但需要擁有管理員權(quán)限或通過其他漏洞才能利用該漏洞。

CVE-2021-26858 — Exchange 中的身份驗證后任意文件寫入漏洞。如果 HAFNIUM 可以通過 Exchange 服務(wù)器進行身份驗證，則可以使用此漏洞將文件寫入服務(wù)器上的任何路徑。它們可以通過利用 CVE-2021-26855 SSRF 漏洞或破壞合法管理員的憑證進行身份驗證。

CVE-2021-27065 — Exchange 中的身份驗證后任意文件寫入漏洞。如果 HAFNIUM 可以通過 Exchange 服務(wù)器進行身份驗證，則可以使用此漏洞將文件寫入服務(wù)器上的任何路徑。它們可以通過利用 CVE-2021-26855 SSRF 漏洞或破壞合法管理員的憑證進行身份驗證。

自漏洞披露以來，CPR 陸續(xù)收到了有關(guān)攻擊者身份、動機和近期主要黑客事件的背景的各種問題。

就像 Sunburst 攻擊一樣，在這次攻擊中，攻擊者通過將一個特別常見的平臺用作前門，秘密入侵并長期駐留在網(wǎng)絡(luò)中。好消息是，只有技能精湛且資金充足的攻擊者才能利用前門潛入全球數(shù)以萬計的組織。盡管這場利用 Exchange 服務(wù)器零日漏洞發(fā)起的攻擊吸引了廣泛關(guān)注，但其攻擊目的以及網(wǎng)絡(luò)犯罪分子想要從網(wǎng)絡(luò)中竊取的內(nèi)容仍不為人所知。面臨風(fēng)險的組織不僅應(yīng)為其 Exchange 服務(wù)器采取預(yù)防措施，而且還應(yīng)掃描網(wǎng)絡(luò)中的活躍威脅并評估所有資產(chǎn)。

預(yù)防攻擊，保障安全

Check Point 為預(yù)防攻擊和保障安全提供了以下建議：

補丁程序 — 立即將所有 Microsoft Exchange 服務(wù)器更新為 Microsoft 提供的最新補丁版本。此更新不會自動進行，需要您手動執(zhí)行。
威脅防護措施 — Check Point 通過下列威脅防護措施，為 Microsoft 報告的漏洞提供了全面的安全防護：

IPS

CVE-2021-26855 –?CPAI-2021-0099
- CVE-2021-26857 –?CPAI-2021-0107
- CVE-2021-26858 –?CPAI-2021-0107
- CVE-2021-27065 –?CPAI-2021-0099

威脅模擬

Trojan.WinsCVE-2021-27065.A

殺毒

HAFNIUM.TC.XXX
- Trojan.Win32.Hafnium.TC.XXX

?? ? ???Check Point Harmony 端點（正式名稱為 SandBlast Agent）

Behavioral.Win.SuspExchange.A
- Behavioral.Win.SuspExchange.B
- Behavioral.Win.SuspExchange.C
- Behavioral.Win.SuspExchange.D

分享到

songjy

相關(guān)推薦

近期文章

熱門標簽