修补周二由Microsoft Exchange攻击掩盖了
Microsoft在其最新的补丁周二更新中修补了89个常见漏洞和暴露(CVES),该修补程序于3月9日下降,其中14个错误评为至关重要 - 但最新一轮更新被披露的四个CVES周围的发展危机已被掩盖。上周在Microsoft Exchange Server的带外修补程序中。
持续的情况已经看到来自世界各地国家安全机构的紧急指令,在报告中,超过10万个组织可能受到损害。根据Palo Alto Networks 42队团队收集的遥测,脆弱服务器的数量总计33,000,德国21,000,英国7,900,法国5,100,意大利4,600人。
美国的网络安全和基础设施安全局(CISA) - 已将美国政府机构命令修补他们的系统 - 表示已经确定,开采换货上提产品的剥削构成了“不可接受的风险”。
“CISA发布了Aremediating Microsoft Exchange漏洞,强烈敦促所有组织立即解决最近的Microsoft Exchange Server产品漏洞,”它在最近更新的语句中表示。
“随着对这些漏洞的开发是普遍的和不分青刺激,CISA强烈建议组织遵循网页中规定的指导。该指南为领导者和IT安全人员提供了具体步骤,适用于所有部门的所有规模组织。“
来自披露的CVES引起的妥协的受害者已经开始让他们在欧洲银行权威(EBA)中,以及美国政府据称形成专门的紧急任务的事件的新兴规模。
SIC MACKEY,SYNOPASYS CYRC(网络安全研究中心)的主要安全战略家表示,虽然它和安全团队将更多地用于定期修补更新和周期,但也很重要的是要注意,Exchange Server亮点的当前更新集需要检查妥协的迹象。
“本月补丁更新中包含的四个交换服务器漏洞正在积极利用以形成一个网络杀链链的一部分,”他说。“这个杀杀链条允许攻击者留下Web炮弹,然后可以用来进一步攻击。
“由于Web shell只不过是一块类似于Web界面的恶意代码,并且表现得像一个类似的行为,因此掩盖了从一个Web界面流动的恶意流量易于在Microsoft Exchange等生产服务器上完成。
“当然,由于攻击者定义了他们的参与规则,那个Web shell所做的就是这样。这意味着它们可以尝试从服务器从服务器虹吸数据到使用服务器资源来运行加密软件的任何东西。
“在这些Exchange Server修补程序的情况下,只需修补Exchange服务器就像有妥协的迹象一样,您需要触发您的事件响应计划并执行一些法医分析以确定所做任何损坏的程度。“
最新的更新还包括涵盖多个不受支持的Microsoft Exchange Server版本的修补程序 - 一种罕见的遗传,指示攻击的严重性和覆盖范围。
除了交换问题外,录制的未来的Allan Liska总结了这些月份Cisos及其团队应该关注的一些更重要的脆弱性。
“从CVE-2021-27077开始,Windows Win32k Privilege漏洞的高程,此漏洞会影响Windows 7-10和Windows Server 2008-2019,”他说。“这是一个本地特权升级脆弱性,由趋势科技零日举措于1月回来首次报道。
“这种脆弱性尚未被认为在野外被剥削,但是初始披露和被释放的补丁之间的时间长度应该是因为它可能给予恶意威胁演员的疑虑,这是对漏洞和利用它的机会。零日倡议和去年报道的类似漏洞CVE-2020-0792并未被广泛利用。
“本月修补的其他零点漏洞是CVE-2021-26411。这是一个Internet Explorer内存损坏漏洞,目前正在野外被剥削,特别是针对韩国目标。如果您的组织仍运行Microsoft的Internet Explorer,则这应该是修补的优先级。“
LIKSA还强调了Microsoft DNS的六个错误 - 持续的趋势 - 这是特别值得注意的。这些是CVES 2021-26877,-26893,-26894,26896,-26895 -26896和-27063。其中,他说,-26877和-26893到-26895到-26895应该优先考虑,因为它们是影响Windows Server 2008到2016上的DNS的远程代码执行(RCE)漏洞,尽管它们仅被评为重要,这可能反映了一些漏洞难以。上面列出的另外两个CVE是拒绝服务漏洞,影响Windows 2008到2019年的DNS服务器,并且也被评为重要。
他加了:“最后,Windows 10和Windows Server 2019上的DirectX驱动程序中有一个高兴的漏洞。此漏洞CVE-2021-24095可以允许攻击者获得对其已经存在的系统的特权访问。虽然Microsoft将这种漏洞的漏洞更有可能“,但DirectX近年来似乎失望了。几乎没有证据表明最近的DirectX漏洞已被广泛利用在野外。“
Microsoft Exchange Server网络攻击时间表
3月3日:Microsoft释放紧急补丁以解决多个零日漏洞,指示Aron-remise Service的Exchange Server。
3月4日:美国CISA发布紧急指导,因为四个新披露的Microsoft交换脆弱性群体更清晰。
3月5日:Fireeye的强大追踪活动中的技术团队分析在Microsoft Exchange vertmormore的新披露漏洞而不是一个月前。
3月8日:微软表示,其所见增加的交换服务器攻击,以及超越中国国家赞助的铪集团导信攻击的更多威胁演员。
3月9日:欧洲银行权限通过Microsoft Exchange Server的漏洞突破,但现在在线回来。