NTT：全球威脅情報中心2021年4月報告（英文版）（8頁）.pdf

1、與內部部署的Microsoft Exchange服務器相關的多個零日漏洞的披露引發了大規模掃描和攻擊，以獲得對全球數千個IT網絡的未經授權訪問。到目前為止我們知道什么?2021年3月2日，Microsoft和Volexity披露了幾個與本地Microsoft Exchange服務器相關的零日漏洞。這些漏洞給組織帶來了巨大的風險，因為如果成功利用這些漏洞，它們將有助于服務器端身份驗證、遠程代碼執行(RCE)和向服務器寫入任意文件。成功利用此漏洞的主要原因是安裝了webshell，提供了進入網絡的后門訪問。證據表明，攻擊者早在2021年1月3日就開始利用這些漏洞。DEVCORE的安全研究人員最初發

2、現了這些漏洞，并于2021年1月5日向微軟報告了這些漏洞。威脅情報分析員將剝削活動與高級持久性威脅(APT)行為者聯系起來，例如被稱為“鉿”的APT，后者被懷疑是中國國家資助的威脅行為者。然而，更多的威脅行為者開發了更多的漏洞利用。這不僅導致了網絡間諜行動，也導致了加密挖掘和勒索軟件行動的增加。這對那些Microsoft和安全分析師敦促其激活事件響應程序(如果發現組織易受影響)的組織有重大影響。歷史上，鉿主要針對美國的實體，目的是從許多行業部門中過濾信息，包括傳染病研究人員、律師事務所、高等教育機構、國防承包商、政策智庫和非政府組織。此次活動的宣布與最近的SolarWinds目標事件非常接近，

3、但是這兩者之間沒有已知的聯系，而且據觀察，Microsoft Exchange事件更為普遍。截至2021年3月10日，報告顯示，已知至少有60000個系統受到影響或面臨風險。涉及哪些漏洞?CVE-2021-26855與服務器端請求偽造(SSRF)有關，它使威脅參與者能夠發送巧盡心思構建的HTTP請求以作為Microsoft Exchange服務器進行身份驗證。CVE-2021-26857涉及與統一消息服務相關聯的不安全反序列化代碼。該漏洞有助于促進遠程代碼執行，并作為本地系統用戶執行權限提升。CVE-2021-26858涉及對服務器上文件系統的任意文件寫入。需要身份驗證，這可以通過利用CVE-2021-26855(以上)實現。