微软 Exchange 高危漏洞危及混合云环境安全
HackerNews 编译,转载请注明出处: Microsoft Exchange客户收到关于一个新高危漏洞(CVE-2025-53786,CVSS评分为8.0)的警告,该漏洞可能允许攻击者在组织的互联云环境中提升权限。此漏洞影响本地版Microsoft Exchange服务器版本。 成功利用此漏洞的前提是攻击者需首先在Exchange混合部署环境中获得或拥有Exchange服务器的管理员权限。微软在8月6日的安全更新中指出:“在获取访问权限后,威胁行为者可利用此不当身份验证漏洞,实现组织混合云和本地环境的全域控制,且不留易于检测和审计的痕迹。”目前尚未发现漏洞利用尝试,但微软警告此类活动很可能发生。 微软敦促客户采取行动 微软强烈建议客户实施其2025年4月发布的《Exchange混合部署安全变更指南》及配套非安全补丁中的措施。“微软强烈建议客户阅读相关说明,安装2025年4月(或更新版本)的补丁,并在Exchange服务器及混合环境中实施变更措施。”这些变更特别针对Exchange混合部署环境。 曾配置Exchange混合身份验证或Exchange Server与Exchange Online组织间OAuth认证的用户(即使现已停用),必须重置共享服务主体的keyCredentials凭证。 美国网络安全和基础设施安全局(CISA)同期发布警报,警告该漏洞可能危及组织Exchange Online服务的身份完整性。除微软列出的修复步骤外,CISA建议各机构将已终止支持(EOL)或停止服务的公开版Exchange Server或SharePoint Server与互联网断开。“SharePoint Server 2013及更早版本已终止支持,若仍在运行应立即停用。” 消息来源:infosecurity-magazine; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
全球超 70 台 Exchange 服务器遭定向入侵,26 国政企凭证被隐秘窃取
HackerNews 编译,转载请注明出处: 据观察,不明攻击者正针对暴露公网的Microsoft Exchange服务器发起定向攻击,通过向登录页面注入恶意代码窃取用户凭证。网络安全供应商Positive Technologies在最新分析报告中表示,他们在Outlook登录页面上发现了两种用JavaScript编写的键盘记录器代码变体: • 本地存储型:将窃取的凭证写入服务器上可通过互联网访问的本地文件 • 实时外传型:将收集的数据立即发送至外部服务器 该俄罗斯网络安全公司证实,此次攻击已针对全球26个国家的65个机构,这是2024年5月首次记录的针对非洲和中东实体攻击活动的延续。此前该公司发现至少30名机构受害者,涵盖政府机构、银行、IT公司和教育机构,首次入侵证据可追溯至2021年。 攻击链利用Microsoft Exchange Server中的已知漏洞(例如ProxyShell)向登录页面插入键盘记录代码。目前这些攻击的幕后黑手尚未明确。已被武器化的漏洞包括: • CVE-2014-4078:IIS安全功能绕过漏洞 • CVE-2020-0796:Windows SMBv3客户端/服务器远程代码执行漏洞 • CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065:Microsoft Exchange Server远程代码执行漏洞(ProxyLogon) • CVE-2021-31206:Microsoft Exchange Server远程代码执行漏洞 • CVE-2021-31207、CVE-2021-34473、CVE-2021-34523:Microsoft Exchange Server安全功能绕过漏洞(ProxyShell) 安全研究人员Klimentiy Galkin和Maxim Suslov指出:恶意JavaScript代码读取并处理身份验证表单的数据,通过XHR请求将其发送至受感染Exchange Server上的特定页面。目标页面的源代码包含处理函数,该函数读取传入请求并将数据写入服务器文件。 包含被盗数据的文件可通过外部网络访问。部分本地键盘记录器变种还会收集用户Cookie、User-Agent字符串及时间戳。这种方法的核心优势在于:由于无需建立外联流量传输数据,检测概率趋近于零。 Positive Technologies发现的第二种变体则通过XHR GET请求,将编码后的登录名和密码分别存储在APIKey与AuthToken标头中,利用Telegram机器人作为渗透点;另一种方法结合域名系统(DNS)隧道与HTTPS POST请求发送用户凭证,突破组织防御体系。 受感染的服务器中有22台位于政府机构,其次是IT、工业和物流公司。越南、俄罗斯、中国大陆、中国台湾、巴基斯坦、黎巴嫩、澳大利亚、赞比亚、荷兰和土耳其位列前十大目标。 研究人员强调:大量可通过互联网访问的Exchange服务器仍易受旧漏洞攻击。通过将恶意代码嵌入合法认证页面,攻击者得以长期潜伏,同时直接获取明文凭证。 消息来源: thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
FamousSparrow APT 组织侵入酒店、政府和企业
一个名为“FamousSparrow”的网络间谍组织利用微软Exchange服务器的ProxyLogon漏洞及其自定义后门“SparrowDoor”,将全球各地的酒店、政府和私人企业作为目标。 ESET研究人员Matthieu Faou称ESET正在跟踪该组织,他们认为,自2019年以来FamousSparrow一直很活跃。3月3日,攻击者开始利用ProxyLogon漏洞,已有10多个高级持续威胁(APT)组织利用该漏洞接管Exchange服务器。 FamousSparrow主要针对酒店;然而,研究人员发现其他部门也有一些目标,包括政府、国际组织、工程公司和律师事务所。受害者分布在巴西、布基纳法索、南非、加拿大、以色列、法国、立陶宛、危地马拉、沙特阿拉伯、中国台湾、泰国和英国。 “在恶意软件方面,该组织没有多大的发展,但在目标方面,他们在2020年做出转变,他们开始以全球酒店为目标,”Faou谈到该组织的发展时说。FamousSparrow之所以与众不同,是因为它专注于酒店,而不仅是流行的APT目标,比如政府。 “我们认为他们的主要动机是间谍活动,”他补充道。酒店是APT组织的主要目标,因为它可以让攻击者收集目标的旅行习惯数据。他们还可能侵入酒店的Wi-Fi基础设施,监听未加密的网络通信。” 他们说,在研究人员能够确定初始危害矢量的情况下,FamousSparrow利用脆弱的面向互联网的应用程序锁定受害者。该组织利用了Microsoft Exchange已知的远程代码执行漏洞,包括3月份的ProxyLogon漏洞,以及Microsoft SharePoint和Oracle Opera(一种用于酒店管理的商业软件)。 服务器被攻破后,攻击者部署了几个自定义工具:Mimikatz的一个变体、 NetBIOS扫描程序Nbtscan和一个将ProcDump转到磁盘上的小工具,该工具将转移到另一个进程,而研究人员表示该进程可能会被用来收集内存机密。 攻击者还为他们的SparrowDoor后门放置了一个载入程序,这是他们独有的工具。 Faou说:“SparrowDoor使攻击者能够几乎完全控制被攻击的机器,包括执行任意命令或窃取任何文件。”SparrowDoor的部署,以及服务器端漏洞的使用,是该组织的主要特点。 研究人员认为FamousSparrow是自行运作的,但也发现了与其他已知APT组织的联系,包括SparlingGoblin和DRBControl。 Faou说:“他们很可能共享工具或接近受害者,但我们认为他们是独立的威胁团体。” 研究人员说,这提醒企业要迅速给面向互联网的应用程序打补丁。如果无法快速打补丁,建议企业不要将应用程序暴露在互联网上。 消息来源:Darkreading,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接