HackerNews 编译，转载请注明出处： 超过29,000台暴露在互联网上的Exchange服务器仍未修复一个高危漏洞（CVE-2025-53786），该漏洞可使攻击者在微软云环境中横向移动，可能导致整个域沦陷。已获取本地Exchange服务器管理员权限的攻击者可利用此漏洞在组织关联的云环境中提升权限，通过伪造或操纵可信令牌或API调用实现权限升级，且不留易于检测的痕迹，使攻击行为难以追踪。 CVE-2025-53786影响采用混合部署的Exchange Server 2016、Exchange Server 2019及采用订阅制替代永久许可模式的Microsoft Exchange Server订阅版。该漏洞在微软2025年4月作为“安全未来倡议”的一部分发布修复指南和热更新时被披露，该倡议支持使用专用混合应用替代本地Exchange Server与Exchange Online此前使用的不安全共享身份验证架构。 尽管微软尚未发现该漏洞在攻击中被利用的证据，但仍将其标记为“极有可能被利用”，因其认为攻击者可能开发出可稳定利用的漏洞代码，从而增加其吸引力。安全威胁监控平台Shadowserver的扫描数据显示，超过29,000台Exchange服务器仍未修复此漏洞。截至8月10日检测到的29,098台未修复服务器中，美国占7,200余台，德国超6,700台，俄罗斯逾2,500台。 漏洞披露次日，美国网络安全和基础设施安全局（CISA）发布第25-02号紧急指令，要求所有联邦文职行政部门机构（含国土安全部、财政部及能源部）于东部时间周一9点前缓解此高危漏洞。联邦机构需先通过微软健康检查脚本清点Exchange环境，并将不再受2025年4月热更新支持的公开服务器（如已终止支持或服务的Exchange版本）与互联网断开。其余服务器须升级至最新累积更新（Exchange 2019需CU14/CU15，Exchange 2016需CU23）并安装微软4月热补丁。 CISA在单独公告中警告，未能修复该漏洞可能导致“混合云与本地环境完全域沦陷”。尽管非政府组织未被强制要求执行紧急指令，但CISA强烈建议所有机构采取相同措施防护系统。代理局长马杜·戈图穆卡拉强调：“此漏洞风险波及所有使用该环境的组织与部门，联邦机构虽被强制要求，但我们强烈敦促各方实施紧急指令中的行动。”       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

虽然在 2021 年微软就已针对 Hive 勒索软件发布 Exchange 服务器的安全补丁，并敦促企业及时进行部署，但是依然有一些组织并没有及时跟进。消息称这些尚未跟进的组织近日再次遭受了 Hive 勒索软件的攻击，被黑客获得了系统权限。 在攻击获得系统权限之后，该勒索软件就会通过 PowerShell 脚本启动 Cobalt Strike，并创建了一个名为“user”的新系统管理员账户。 然后，攻击者使用 Mimikatz（一款功能强大的轻量级调试神器）来窃取域管理员的 NTLM 哈希值，并获得对该账户的控制。在成功入侵后，Hive 进行了一些发现，它部署了网络扫描仪来存储 IP 地址，扫描文件名中含有”密码”的文件，并尝试RDP进入备份服务器以访问敏感资产。 最后通过“Windows.exe”文件执行一个自定义的恶意软件有效载荷，用于窃取并加密文件，删除影子副本，清除事件日志，并禁用安全机制。随后，会显示一个勒索软件的说明，要求该组织与Hive的”销售部门”取得联系，该部门设在一个可通过 Tor 网络访问的.onion 地址。 被攻击的组织还被提供了以下指示： ● 不要修改、重命名或删除*.key.文件。你的数据将无法解密。 ● 不要修改或重命名加密的文件。你会失去它们。 ● 不要向警察、联邦调查局等机构报告。他们并不关心你的业务。他们只是不允许你付款。结果是你将失去一切。 ● 不要雇用恢复公司。没有密钥，他们无法解密。他们也不关心你的业务。他们认为自己是好的谈判者，但事实并非如此。他们通常会失败。所以要为自己说话。 ● 不要拒绝（sic）购买。渗出的文件将被公开披露。 如果不向Hive付款，他们的信息将被公布在 HiveLeaks Tor 网站上。同一网站上还会显示一个倒计时，以迫使受害者付款。 该安全团队指出，在一个例子中，它看到攻击者在最初入侵的72小时内设法加密环境。因此，它建议企业立即给Exchange服务器打补丁，定期轮换复杂的密码，阻止 SMBv1，尽可能限制访问，并在网络安全领域培训员工。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1261193.htm 封面来源于网络，如有侵权请联系删除