微软Exchange服务漏洞被利用,黑客喜好植入Hive勒索软件和后门

最新推荐文章于 2024-07-14 20:27:57 发布
最新推荐文章于 2024-07-14 20:27:57 发布
阅读量8.6k 收藏
点赞数
分类专栏: 漏洞预警 文章标签: 系统安全 安全架构 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anquanjishu/article/details/124313177
版权

微软Exchange服务的ProxyShell安全问题,由三个cve组成,分别是:

— CVE-2021-34473 - Microsoft Exchange ACL绕过漏洞

— CVE-2021-34523 - Microsoft Exchange权限提升漏洞

— CVE-2021-31207 - Microsoft Exchange授权任意文件写入漏洞

黑客通过ProxyShell漏洞,可以未经身份验证攻击暴露互联网上的Microsoft Exchange Server 执行任意命令,此漏洞受到各个勒索系列软件喜欢,如Conti、BlackByte、Babuk、Cuba和LockFile等。

微软在2021年5月份就完成了ProxyShell漏洞修复,但是有关于它的利用技术细节直到现在才被各个家族式的勒索软件所广泛使用,或许能够真正重视此安全问题,并修复的企业并不多。

从入侵到加密勒索

有安全调查机构发现,黑客在成功利用ProxyShell漏洞后,会在布署 Exchange目录下植入4个WebShell,并以管理员权限执行 PowerShell 代码下载 Cobalt Strike 后门。

使用的WebShell后门来自一个5年前公开的代码,在成功获取服务器权限后,黑客会使用 Mimikatz 工具来获取域管理帐户和密码,并在内网上进行横向移动,从而窃取更多网络设备权限。

在获取更多设备权限后,下载运行Hive勒索软件,进行大量的文件搜索,找到最有价值的数据后进行加密,迫使受害者支付赎金。

虽然是一个旧漏洞的利用,使用的也是常见的工具,但是受到侵袭的影响,居然让FBI(美国联邦调查局)进行了专项调查,并且发布了一份有针对性的防护策略和专门报告。

2021年10月后,Hive勒索软件支持Linux和FreeBSD后,一度成为攻击频率最高的勒索软件之一。

影响范围

Microsoft Exchange Server 2010

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019

安全修复

1. CVE-2021-34473补丁修复,可参见微软官网 KB5001779

2. CVE-2021-34523 补丁修复,可参见微软官网 KB5001779

3. CVE-2021-31207 补丁修复,可参见微软官网 KB5003435

安全技术
关注
专栏目录
数仓工具—Hive语法之数组函数用法和示例
07-16 3万+
之后,您可以使用数组操作函数来操作数组类型。数组函数将自然语言文本的字符串分割成单词和句子,每个句子在适当的句子边界处断开,并作为单词数组返回。函数根据数组元素的自然排序对输入数组进行升序排序并返回。例如,考虑以下示例对数组字符串进行排序并返回排序后的数组。例如,以下示例仅从键值对 map 类型中返回键。例如,以下示例仅从键值对 map 类型中返回值。例如,考虑以下示例,根据逗号分隔符分割字符串。函数在 map 类型上工作并返回键值数组。例如,考虑以下示例,根据整数值创建数组。
数仓工具—Hive语法之替换函数和示例
最新发布
07-16 3万+
rlike regexp 是一样的,都是正则匹配REGEXP_REPLACE 是正则替换REGEXP_REPLACE 是正则提取Translate 是字符替换like 是字符匹配,有自己的语法。
CVE-2020-17144 Exchange远程代码执行漏洞复现
K8哥哥
12-10 3134
漏洞简介 漏洞是由程序未正确校验cmdlet参数引起。经过身份验证的攻击者利用漏洞可实现远程代码执行。 该漏洞CVE-2020-0688 类似,也需要登录后才能利用,不过在利用时无需明文密码,只要具备 NTHash 即可。除了常规邮件服务与 OWA外,EWS接口也提供了利用所需的方法。漏洞的功能点本身还具备持久化功能。 影响版本 Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 31 EXP用法 条件: Exchange2010;
Exchange漏洞
Fiverya的博客
02-07 2670
Exchange漏洞
Exchange漏洞分析:SSRF RCE
kali_Ma的博客
11-28 3188
0x00 前言 在今年3月份,微软公布了多个Microsoft Exchange的高危漏洞。ProxyLogon是Exchange历史上最具影响力的漏洞之一,有上千台Exchange服务器被植入webshell后门。 0x01 漏洞描述 CVE-2021-26855是一个SSRF漏洞利用漏洞可以绕过Exchange的身份验证,CVE-2021-27065是一个文件写入漏洞。二者结合可以在未登录的状态下写入webshell。 0x02 影响范围 Exchange Server 2019 < 15.
EXP〗Ladon CVE-2020-0688 Exchange漏洞利用
K8哥哥
07-16 402
洞产生的主要原因就是在Exchange ECP组件中发现,邮件服务在安装的过程中不会随机生成秘钥,也就是说所有默认安装的Exchange服务器中的validationKey和decryptionKey的值都是相同的,这些密钥用于保证ViewState的安全性。而ViewState是ASP.NET Web应用以序列化格式存储在客户机上的服务端数据。 ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Hive进阶】-- Hive SQL、Spark SQL和 Hive on Spark SQL
欢迎来到我的博客,一起探索代码里的世界!
03-13 3036
Hive由Facebook开发,用于解决海量结构化日志的数据统计,于2008年贡献给 Apache 基金会。Hive是基于Hadoop的数据仓库工具,可以将结构化数据映射为一张表,提供类似SQL语句查询功能本质:将Hive SQL转化成MapReduce程序。Spark SQL主要用于结构型数据处理,它的前身为Shark,在Spark 1.3.0版本后才成长为正式版,可以彻底摆脱之前Shark必须依赖HIVE的局面。
Hive 元数据服务 MetaStore
SmartSi
04-26 7393
1. 概念 MetaSore 是 Hive 元数据存储的地方。Hive 数据库、表、函数等的定义都存储在 MetaStore 中。根据系统配置方式,统计信息和授权记录也可以存储在这。Hive 或者其他执行引擎在运行时可以使用这些数据来确定如何解析,授权以及有效执行用户的查询。MetaStore 分为两个部分:服务和后台数据的存储。 2. 配置参数 这里只会展示与 MetaStore 相关的配置参数,与 MetaSote 不相关的配置参数可以在这查阅。 配置参数 参数说明 hive.metas
数仓工具—Hive语法之正则表达式函数
07-14 3万+
在我的其他文章中,我们已经看到了如何使用Hive正则表达式从字符串中提取日期值。正则表达式的另一个常见用途是提取数值,例如从字符串数据中提取区号或电话号码。当您处理不同的数据源时,可能需要从给定的字符串类型列中提取数字值,如电话号码或区号。例如,考虑下面的Hive示例,使用函数中的不同表达式从字符串中提取数字。例如,考虑以下示例,使用Hive正则表达式从字符串中仅获取3位数字。这些关键字,都是和匹配有关的,今天我们介绍一下hive 的。例如,以下示例中的正则表达式仅从字符串中提取6位数字。
CVE-2020-16875 Exchange RCE漏洞
谢公子的博客
07-23 6996
漏洞背景 2020年09月08日微软发布漏洞通告:CVE-2020-16875 | Microsoft Exchange Server 远程执行代码漏洞 由于对cmdlet参数的验证不正确,Microsoft Exchange服务器中存在一个远程执行代码漏洞。成功利用漏洞的攻击者可以在系统用户的上下文中运行任意代码。利用漏洞,攻击者可从特定 Exchange 用户提升到操作系统 SYSTEM 权限,攻击者首先需获得特定权限的邮箱用户(拥有Data Loss Prevention角色权限的用户),该用
漏洞分析的目的是发现/漏洞分析报告-零基础攻防笔记
程序员六七的博客
05-10 608
0x00 前言在今年3月份,微软公布了多个 的高危漏洞。是历史上最具影响力的漏洞之一,有上千台服务器被植入后门。0x01 漏洞描述CVE-2021-
EXCHANGE上冒充任意用户--Exchange Server权限提升漏洞(CVE-2018-8581)分析
weixin_30929011的博客
06-18 370
0x00 前言 这是我们2018年Top 5趣案系列中的第三个案例。这些漏洞都有一些因素使它们从今年发布的大约1,400个报告中脱颖而出。今天我们将分析一个Exchange漏洞,它允许任何经过身份验证的用户冒充Exchange Server上的其他用户。 在ZDI的Dustin Childs 12月的文章中,他提到了一个Exchange漏洞,允许Exchange服务器上的任何用户冒充该Exc...
Microsoft Exchange漏洞记录(撸向域控) - CVE-2018-8581
dengzhasong7076的博客
01-22 2932
前一段时间exchange出现了CVE-2018-8581,搭了许久的环境,不过不得不敬佩这个漏洞整体超赞。 一开始主要还是利用盗取exchange的管理员权限去调用一些接口,导致可以做到,比如收取别人邮件,替别人发送邮件。 攻击域控 今天出了一个更加深入的利用分析 主要是利用了ews推送的ssrf,进行ntlm relay,从http -> ldap的利用。主要还是exchang...
Microsoft Exchange 内网地址泄露漏洞复现与缓解方案
Vitaminapple的博客
04-23 733
漏洞是在确实host头访问的情况下可泄露Exchange的内网IP地址,直接危害不大,但有需要解决这个问题的可以参考下。
Microsoft Exchange Server远程代码执行漏洞
m0_48520508的博客
09-19 1158
1、Microsoft Exchange Server概述 Microsoft Exchange Server是微软公司推出的一套商业电子邮件系统,因其稳定、易用、安全等特点在全球多个行业被广泛地应用。 除了常规的 SMTP/POP 协议服务之外,它还支持 IMAP4 、LDAP 和 NNTP 协议。Exchange Server 服务器有两种版本,标准版包括 Active Server、网络新闻服务和一系列与其他邮件系统的接口;企业版除了包括标准版的功能外,还包括与 IBM OfficeVisi
Exchange高危0day漏洞 -- 直接拿下你的域控和服务器 -- 立即行动!CVE-2021-26855
DynamicsAgg的博客
03-03 4901
漏洞介绍: 微软在今天2020-03-02 发布了紧急的0day漏洞更新, 有以下几个漏洞:CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065 CVE-2021-26855 is a server-side request forgery (SSRF) vulnerability in Exchange which allowed the attacker to send arbitrary HTTP requests and ...
OSCS开源安全周报第13期:Exchange 高危漏洞公开
OSCS开源安全社区
10-10 3955
OSCS 社区共收录安全漏洞31个,公开漏洞值得关注的是 Apache Commons JXPath 存在代码执行漏洞CVE-2022-41852),Microsoft Exchange 远程代码执行漏洞(ProxyNotShell(CVE-2022-41040),Apache Tomcat 条件竞争漏洞CVE-2021-43980),FasterXML jackson-databind 小于2.14.0-rc1拒绝服务漏洞CVE-2022-42003)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

安全技术

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值