| 【弱點說明】事件通告:駭客攻陷微軟Exchange伺服器的RCE零時差漏洞
【影響範圍】
【細節描述】
˙越南資安服務業者GTSC在微軟的Exchange伺服器上,發現一個已遭開採的零時差遠端程式攻擊漏洞,已有組織因此遭駭。
˙根據GTSC的分析,駭客的攻擊手法類似針對ProxyShell漏洞的攻擊,且該公司團隊已成功複製如何利用該漏洞存取Exchange後端元件,進而執行遠端程式攻擊。
此外,駭客不僅於受害系統上建立了據點,也透過不同的技術打造了後門,並於受害系統上橫向移動至其它伺服器。GTSC也偵測到駭客使用了於中國熱門的 Web Shell跨平臺開源管理工具Antsword,來管理於受害Exchange伺服器上所植入的Web Shell。
Indicators of Compromise (IOCs)
Webshell: ˙File Name: pxh4HG1v.ashx ˙Hash (SHA256):
c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1 ˙Path:
C:\Program Files\Microsoft\Exchange
Server\V15\FrontEnd\HttpProxy\owa\auth\pxh4HG1v.ashx ˙File Name:
RedirSuiteServiceProxy.aspx ˙Hash (SHA256):
65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5 ˙Path:
C:\Program Files\Microsoft\Exchange
Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx
˙File Name: RedirSuiteServiceProxy.aspx ˙Hash (SHA256):
b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca ˙Path:
C:\Program Files\Microsoft\Exchange
Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx
˙File Name: Xml.ashx (pxh4HG1v.ashx and Xml.ashx, 2 files have the same
contents) ˙Hash (SHA256):
c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1 ˙Path:
C:\inetpub\wwwroot\aspnet_client\Xml.ashx ˙Filename: errorEE.aspx
˙SHA256:
be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257 ˙Path:
C:\ProgramFiles\Microsoft\ExchangeServer\V15\FrontEnd\HttpProxy\owa\auth\errorEE.aspx
˙DLL: ˙File name: Dll.dll ˙SHA256:
˙074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82
˙45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9
˙9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0
˙29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3
˙c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2 ˙File
name: 180000000.dll (Dump t? ti?n tr?nh Svchost.exe) ˙SHA256:
76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e
IP:
˙125[.]212[.]220[.]48
˙5[.]180[.]61[.]17
˙47[.]242[.]39[.]92
˙61[.]244[.]94[.]85
˙86[.]48[.]6[.]69
˙86[.]48[.]12[.]64
˙94[.]140[.]8[.]48
˙94[.]140[.]8[.]113
˙103[.]9[.]76[.]208
˙103[.]9[.]76[.]211
˙104[.]244[.]79[.]6
˙112[.]118[.]48[.]186
˙122[.]155[.]174[.]188
˙125[.]212[.]241[.]134
˙185[.]220[.]101[.]182
˙194[.]150[.]167[.]88
˙212[.]119[.]34[.]11
URL: ˙hxxp://206[.]188[.]196[.]77:8080/themes.aspx
C2: ˙137[.]184[.]67[.]33
建議管理者先進行清查IOC,確認無連線,以降低受駭風險。
【建議措施】
1.若版本為: Exchange Server 2016未更新到CU22以上,或是Exchange Server 2019未更新到CU11以上,則需要先手動安裝URL Rewrite。
2.若版本為Exchange Server 2013,建議升級至Exchange Server 2013 CU23並安裝所有安全更新,並且在安裝URL Rewrite前務必安裝KB2999226更新。
3.[10/8更新]在每一台Exchange Server上,不管是否有對外連線,設定緩解方是如同附件檔(ZeroDay緩解方式V4.docx)/MSRC公告,或是執行EOMTv2.PS1 script (10/8腳本更新: 調整阻擋模式),完成設定後不須重啟服務或重開機。
4.關閉非Exchange Server管理者帳號的Remote PowerShell權限(10/2更新)。
4.1.先將所有帳號Exchange Remote PowerShell權限關閉,除了現正執行指令的AdminAccount1帳號:
Get-User -ResultSize Unlimited | ?{$_.SamAccountName -ne
“AdminAccount1”} | Set-User -RemotePowerShellEnabled:$false
-Confirm:$false 4.2.然後再透過AdminAccount1把其他管理者開啟Exchange Remote PowerShell權限:Set-User
-Identity AdminAccount2 -RemotePowerShellEnabled $True Note:不建議客戶對Internet管理者開放Remote PowerShell Ports。
【更新紀錄】
|