Microsoft Exchange Cves比想法更广泛利用

美国政府的网络安全和基础设施安全局（CISA）发出了紧急指令警告所有政府平民部门和机构运行内部内容的Microsoft Exchange安装，以更新或断开产品，因为四个新披露的漏洞 - CVE-2021- 26855，CVE-2021-26857，CVE-2021-26858和CVE-2021-27065 - 传播。

CISA还呼吁美国机构收集法医图像，并在响应对漏洞的主动开发时搜索妥协（IOC）的已知指标，这提示了来自Microsoft的序列超出补丁。

“这种紧急指令将帮助我们确保联邦网络免受立即威胁的，而CISA与其间际伙伴合作，以更好地了解恶意演员的技术和动机与我们的利益攸关方分享，”Cisa主任布兰登威尔士表示。

“CISA发布此紧急指令的迅速反映了这一脆弱性的严重性以及所有组织的重要性 - 在政府和私营部门 - 采取措施修改它。”

Nominet政府安全专家史蒂夫福布斯评论：“CISA的指令......对于代理商来报告他们的曝光率水平，应用安全修复或断开该计划，这是一系列日益普通的应急指令，原子能机构已在两年前建立以来。

“这样的脆弱性展示了这些协调的国家保护措施的必要性，以有效，有效地减轻了可能具有重大国家安全影响的攻击的影响，”他说。

在公共部门组织的谨慎方面 - 英国的国家网络安全中心也发出了一个警报 - 似乎得到了充分的建议，因为来自世界各地的安全研究人员和观察者对漏洞的重量来说，这可能是更广泛的利用比微软的披露意味着。

虽然Redmond描述了针对目标和有限的攻击 - 并且可能是在其分类矩阵中称为Hafnium的中国国家支持的演员 - Huntress Security的John Hammond表示，他自己的扫描已经确定了已收到的200多家公司的合作伙伴服务器根据Microsoft的披露，Web shell有效载荷。

“这些公司与微软的指导完全保持完全调整，因为一些角色是小型酒店，冰淇淋公司，厨房用具制造，多名高级公民社区和其他中市企业，”哈蒙德说。

“我们还目睹了许多城市和县政府受害者，医疗保健提供者，银行[和]金融机构，以及几家住宅电力提供者。”

Hammond表示，他的扫描中发现了超过350个网壳（某些客户可能有多个）的遗漏，这可能指示自动部署或多个不协调的演员。他补充说，观察到的终点确实具有抗病毒或终点检测和在船上的响应，但威胁演员似乎正在滑过大多数防御性产品，使修补更为关键。

“随着社区的洞察力，我们看到蜜罐攻击，明确威胁演员只是扫描互联网寻找低悬挂水果，”他说。

“由于每个组织[依赖于]电子邮件和Microsoft Exchange是如此广泛使用的事实，这些攻击是严峻的。这些服务器通常在开放的互联网上公开访问，它们可以远程利用。可以利用这些漏洞以获取远程执行代码并完全损害目标。从那里，攻击者在网络中立足，可以扩展他们的访问并做得更多伤害。“

红色金雀犬情报总监凯蒂镍表示，她也是观察与利用披露漏洞相关的活动，但是有一些好消息，因为在这种情况下，剥削后活动是高度可检测的。

“我们永远无法停止零天，但练习防御和维护行为分析的组织应该对共同攻击提醒，这应该对他们检测到这项活动的能力感到充满信心，”她说。

“我们观察到的一些活动使用了中国斩波器Web壳，这已经超过了八年以上，使防守者充足了为其开发检测逻辑。[和]虽然我们永远无法完全防止所有剥削，但是防御者可以努力减少识别剥离后活动所需的时间。通过尽快赶上它，他们可以阻止对手在环境中获得额外立足并造成重大损害的对手，“她说。

在Exchange服务器上检测到近100,000个网壳