E安全3月9日讯 近日，微软为其Exchange电子邮件服务器的四个零日漏洞发布了紧急软件补丁。Exchange电子邮件服务器是企业基础设施中使用最广泛的组件之一。

该公司表示，总部位于中国、被其称为Hafnium的集团利用了这些漏洞，该集团正寻求获得对电子邮件系统的持久访问权。微软通常会在每个月的第二个星期二发布Windows和其他产品的补丁程序，但它会例外处理那些被认为特别危险的安全漏洞。

尽管微软将这些攻击描述为“有限的和有针对性的”，但已经有迹象表明，许多其他黑客组织正在发起攻击，以期使速度缓慢的组织措手不及。这些漏洞似乎至少从1月初开始就被利用了。

微软负责客户安全与信任的公司副总裁汤姆·伯特在博客中写道，该组织一直将传染病研究人员、律师事务所、高等教育机构、国防承包商、政策智库和非政府组织作为攻击目标。

伯特写道:“尽管我们已经迅速部署了针对铪探测的更新，但我们知道，许多国家行为者和犯罪集团将迅速采取行动，利用任何未修补的系统。”

FireEye Mandiant高级副总裁兼首席技术官Charles Carmakal说：“ FireEye已经观察到这些漏洞在野外被利用，我们正在与一些受影响的组织积极合作。” “除了尽快修补补丁程序外，我们建议组织还审查其系统，以获取在部署补丁程序之前可能发生的利用漏洞的证据。”

微软表示，Volexity和Dubex两家公司通过对攻击的观察对其分析做出了贡献。Volexity是一家专门从事事件响应和内存分析的计算机取证公司，它详细阐述了在一月份在其两个客户的系统上看到的异常行为。博客文章称，攻击者利用这些漏洞“窃取了多个用户邮箱的全部内容”。

Volexity表示，早在1月6日，它就检测到用户的异常活动，这意味着攻击者已经活跃了至少两个月，但实际可能更久。

微软表示，最新的恶意活动与太阳风供应链攻击无关。美国政府认为，俄罗斯对外情报局渗透了太阳风公司的软件更新基础设施，植入了恶意软件，然后分发给了18000个组织。

这些漏洞只影响Exchange的本地版本，其中一个组织选择宿主应用程序本身。微软的技术顾问表示，这不会影响Exchange online或云计算版本。漏洞为CVE-2021-、CVE-2021-、CVE-2021-和CVE-2021-。

微软已经发布了危害指标，以便组织可以检查它们是否遭到攻击。此外，它还发布了针对Azure Sentinel和产品检测的高级搜索查询，以及针对Microsoft Defender for Endpoint的查询。

微软详细说明了攻击者是如何获得电子邮件权限的。该组织将通过窃取的密码或新披露的漏洞访问一台Exchange服务器，该小组将在服务器上放置一个web shell，允许持久访问。微软表示，该组织将命令shell在窃取数据时使用美国境内的虚拟私人服务器来掩盖恶意活动。

此外，Volexity还指出了交易所以外的更大风险。在多个组织中，该公司观察到CVE-2021-与目标Exchange服务上的另一个远程执行漏洞链接在一起。

▼稿件合作 9

小E微信号：Eanquan0914

我就知道你“在看”

文章来源：《中国修复重建外科杂志》 网址: http://www.zgxfzjwkzz.cn/zonghexinwen/2021/0309/669.html

上一篇：山西晋中：榆社扎实有效推进云竹湖生态保护修
下一篇：宇航员使用钻头和密封材料 以修复导致国际空间