【BlackHat】速修复!有人正在扫描 Exchange 服务器寻找 ProxyShell 漏洞

最新推荐文章于 2024-06-26 09:55:06 发布
最新推荐文章于 2024-06-26 09:55:06 发布
阅读量801 收藏 1
点赞数
文章标签: 安全 微软 信息安全 html js
原文链接:https://codesafe.qianxin.com/#/home
版权

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士

在2021年黑帽大会上,研究员 Orange Tsai 发布了微软 Exchange ProxyShell 远程代码执行漏洞的详情,于是威胁行动者们开始积极扫描该漏洞。

ProxyShell 是三个漏洞的统称,它们可被组合用于在微软 Exchange 服务器上执行未认证的远程代码。攻击者可通过在IIS 中端口443 运行的微软 Exchange Client Access Service (CAS) 远程组合利用这些漏洞:

  • CVE-2021-34473:预认证路径混淆漏洞,导致ACL绕过(已在四月修复)

  • CVE-2021-34523:Exchange PowerShell 后端上的提权漏洞(已在四月修复)

  • CVE-2021-31207:利用后任意文件写漏洞导致远程代码执行漏洞(已在五月修复)

奇怪的是,虽然CVE-2021-34473和CVE-2021-34523首先在7月份披露,但实际上它们早在4月份微软 Exchange KB5001779 累积更新中已修复。这些漏洞是由Devcore 公司的首席安全研究员 Orange Tsai 发现的,他所在的团队因在四月举办的Pwn2Own 黑客大赛中对这些漏洞进行利用而获得20万美元的奖励。

上周四,Orange Tsai 在黑客大会上公布了自己在微软 Exchange Client Service (CAS) 攻击面上找到的微软Exchange 漏洞。他解释称,ProxyShell 攻击链中的一个组件针对的是Exchange Autodiscover 服务。微软引入该服务的目的是使邮件客户端软件能够轻松自动配置最小的用户输入。

看到 Orange Tsai 的演讲后,安全研究员 PeterJson 和 Jang 发布文章,提供了成功复现 ProxyShell exploit 的技术信息。

攻击者扫描易受攻击的 Exchange 服务器

本周,安全研究员 Kevin Beaumont 指出,某威胁者正在攻击其微软 Exchange 蜜罐,针对的是服务器的 Autodiscover 服务。虽然最初尝试并不成功,但昨晚获悉该漏洞的更多详情后,攻击者更改了扫描,使用了Tsai 公布的新的 Autodiscover URL。

https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com

该URL 使得威胁行动者成功地检测到一个易受攻击的系统,因为它出发了 ASP.NET web应用的编译。

Jang 表示访问该URL将导致 ASP.NET 工作者进程 (w3wp.exeexe) 编译 web 应用。

Beaumont 建议管理员使用 Azure Sentinel 检查 IIS 日志中是否存在 "/autodiscover/autodiscover.json" 或  "/mapi/nspi/" 字符串。

如结果列出了目标 Autodiscover URL,则证明攻击者正在扫描服务器中的漏洞。虽然目前攻击者的扫描成功率较低,但在野实现成功利用只是时间问题。强烈建议微软 Exchange 管理员安装最新累积更新,保护自身免受攻击。

补丁已发布

ProxyShell 漏洞的补丁已发布,攻击将很快出现,就像三月份 ProxyLogon 攻击导致的勒索攻击、恶意软件和数据被盗等。

Orange Tsai 指出,目前互联网上暴露了40万台微软 Exchange 服务器。

微软尚未就此事置评。

推荐阅读

【BlackHat】研究员吐槽苹果漏洞奖励计划

【BlackHat】亚马逊和谷歌修复DNS即平台中的严重漏洞

Black Hat USA 2021主议题介绍

原文链接

https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-scanned-for-proxyshell-vulnerability-patch-now/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
spring框架漏洞整理(Spring Framework漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 1553
spring框架漏洞整理之Spring Framework漏洞(CVE-2015-5211)Spring Framework 内容协商机制(content-negotiation)反射型文件下载(RFD)。 RFD,即 Reflected File Download 反射型文件下载漏洞,是一个 2014 年来自 BlackHat漏洞。这个漏洞在原理上类似 XSS,在危害上类似 DDE:攻击者可以通过一个 URL 地址使用户下载一个恶意文件,从而危害用户的终端 PC。 这个漏洞很罕见,大多数公司会认为它是
安全漏洞】简要分析复现了最近的ProxyShell利用链
HBohan的博客
08-29 898
前言 近日,有研究员公布了自己针对微软Exchange服务的攻击链的3种利用方式。微软官方虽然出了补丁,但是出于种种原因还是有较多用户不予理会,导致现在仍然有许多有漏洞的服务暴露在公网中,本文主要在原理上简要分析复现了最近的ProxyShell利用链。 1.ProxyLogon: The most well-known pre-auth RCE chain 2.ProxyOracle: A plaintext-password recovery attacking chain 3.ProxyShell:
Exchange ProxyShell复现
ruyueattention
10-09 5619
0x1 参考链接 https://blog.csdn.net/qq_41874930/article/details/120037619 https://www.zerodayinitiative.com/blog/2021/8/17/from-pwn2own-2021-a-new-attack-surface-on-microsoft-exchange-proxyshell https://www.4hou.com/posts/8Wp2 https://peterjson.medium.com/repr
exchange proxyshell漏洞学习
Shanfenglan's blog
09-10 4134
文章目录1. proxyshell1.1 影响版本1.2 CVE-2021-34473参考文章 1. proxyshell proxyshell利用链由三个cve组成,分别如下: — CVE-2021-34473 - 预认证路径混淆导致 ACL 绕过 — CVE-2021-34523 - Exchange PowerShell 后端的特权提升 — CVE-2021-31207 - 后认证任意文件写入导致 RCE 使用 ProxyShell,未经身份验证的攻击者可以通过暴露的 443 端口在 Microso
proxylogscan:一种快扫描Microsoft Exchange Server上漏洞的快工具,它使攻击者可以绕过身份验证并冒充管理员(CVE-2021-26855)
03-12
代理日志扫描 此工具用于大规模扫描Microsoft Exchange Server上的漏洞,该漏洞使攻击者可以绕过身份验证并冒充管理员(CVE-2021-26855)。 通过将此漏洞与另一个身份验证后任意文件写入漏洞链接在一起,以执行代码(CVE-2021-27065)。 结果,未经身份验证的攻击者可以在Microsoft Exchange Server上执行任意命令。 此漏洞会影响(Exchange 2013版本<15.00.1497.012,Exchange 2016 CU18 <15.01.2106.013,Exchange 2016 CU19 <15.01.2176.009,Exchange 2019 CU7 <15.02.0721.013,Exchange 2019 CU8 <15.02.0792.010)。 默认情况下,所有组件都容易受到攻击。 安装 必须 。 $ g
探索ProxyShell-auto:自动化ProxyShell漏洞利用工具
最新发布
gitblog_00073的博客
06-26 326
探索ProxyShell-auto:自动化ProxyShell漏洞利用工具 去发现同类优质开源项目:https://gitcode.com/ 在网络安全的前沿,每一个新的发现都可能成为守护或突破防线的关键。今天,我们将深入探讨一个强大的开源项目——ProxyShell-auto,它为安全研究者和系统管理员提供了一种自动化的手段,来检测与利用近期备受关注的ProxyShell漏洞。 项目介绍 Pro...
安全漏洞ProxyShell漏洞复现详解
HBohan的博客
08-18 2140
前言 几天前,Orange在他的BlackHat演讲中又曝出了两条Microsoft Exchange攻击链,即ProxyOrcale和ProxyShell,前者主要用于Padding Orcale攻击,后者则利用路径混淆漏洞实现任意文件写入并最终执行代码。 本文假设读者已经阅读了Orange的幻灯片,并对ProxyLogon具有基本的了解。 另外,请注意,出于显而易见的原因,这里不会公开相应的exploit。相反,本文旨在分享我在复现RCE漏洞和编写exploit方面的经验。 漏洞链 SSRF 这个攻击是
blackhat-fuzzing
01-28
### 黑帽模糊测试(Blackhat Fuzzing) #### 概述 《blackhat-fuzzing》是一份针对模糊测试(Fuzzing)的技术指南,它由Mateusz “j00ru” Jurczyk撰写,内容涉及了模糊测试的各个方面,并且在Black Hat Europe ...
Blackhat USA 2015 XXE
12-25
因此,即使应用程序本身已经修复了某些安全漏洞,但运行这些应用程序的服务器或客户端软件也可能存在未解决的安全问题。例如,服务器端可能使用的JAXP(Java API for XML Processing)存在一个未指定的漏洞,允许...
blackhat html
04-08
WebSockets提供了一种全双工通信协议,允许服务器和客户端之间建立持久连接。然而,这种特性也可能被滥用,例如发起DoS攻击或进行隐蔽的数据传输。 ### 10. Protocol/Schema/APIs attacks with HTML5(针对HTML5的...
spring-boot-actuator-monitor:基于spring boot的 监控平台
05-29
spring-boot-actuator-monitor 基于spring boot的监控平台 #spring-boot-admin 监控后台 新建一个 maven 工程 boot-admin ,继承 spring-boot-starter-parent org.springframework.boot spring-boot-starter-parent 1.2.4.RELEASE 加入依赖 org.springframework.boot spring-boot-starter-web de.codecentric spring-boot-admin-server 1.2.1 de.codecentric spring-boot-admin-server-ui 1.2.1 org.springframework.boot spring-boot-starter -security co
CVE-2021-34473 Exchange RCE.MD
04-23
CVE-2021-34473 Exchange RCE
一种快扫描Microsoft Exchange Server上漏洞的快工具,它使攻击者可以绕过身份验证并冒充管理员(CVE-2021-26855)。-Golang开发
05-26
proxylogscan此工具可大规模扫描Microsoft Exchange Server上的一个漏洞,使攻击者可以绕过身份验证和imperson代理proxylogscan此工具可以大规模扫描Microsoft Exchange Server上的一个漏洞,它允许攻击者绕过身份验证并以管理员身份进行伪装(CVE- 2021-26855)。 通过将此漏洞与另一个身份验证后任意文件写入漏洞链接在一起,以执行代码(CVE-2021-27065)。 结果,未经身份验证的攻击者可以在Microsoft Exchange Server上执行任意命令。 此漏洞会影响(Exchange 2013版本<15.00.1497.012,Exchange 2016 CU18 <1
内网渗透(八十七)之Exchange ProxyShell攻击利用链
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-31 1146
2021年4月份,在Pwn2Oun 黑客大赛上,来自中国台湾地区的安全研究员Orange Tsai 利用 Exchange 最新漏洞 ProxyShell 攻击链成功攻破了微软旗下的Exchange邮箱服务器,并因此夺得20万美元大奖。但是当时Orange Tsai 并未公布 ProxyShell 攻击链漏洞利用详情。同时,微软发布了针对ProxyShell 攻击利用链的安全补丁更新。
Microsoft Exchange ProxyShell Remote Code Execution CVE-2021-34473 (Metasploit exploits)分析
qq_35476650的博客
08-24 1311
CVE-2021-34473 #加载winrm模块文件 Windows专用链接对象 https://github.com/WinRb/WinRM/ require 'winrm' class MetasploitModule < Msf::Exploit::Remote # 这部分是使用MetasploitModule工厂类,输入文件名,加载入口是它。 Rank = ExcellentRanking # 设定Rank等级 默认好像是等于600 #导入MSF模块 prepend
Exchange shell
weixin_34261739的博客
10-23 174
#查询某一mailgroup成员Get-DistributionGroupMember -identity "hr" | select name | sort-object name注:sort-object:排序注:select name: 只显示name属性 转载于:https://blog.51cto.com/3379770/1567052...
安全漏洞ProxyShell利用分析2——CVE-2021-34523
HBohan的博客
08-29 961
前言 本文将要介绍ProxyShell中第二个漏洞的细节,分析利用思路。 简介 本文将要介绍以下内容: ◼CommonAccessToken ◼Exchange PowerShell Remoting ◼利用分析 CommonAccessToken 在上篇文章《ProxyShell利用分析1——CVE-2021-34473》提到,我没有找到通过参数指定EWS认证用户的方法,但是对于Exchange PowerShell Remoting,可以通过传入CommonAccessToken指定认证用户,访问Exc
〖教程〗Ladon内网扫描探测Exchange服务器
K8哥哥
07-15 348
工具内网、外网均可识别,大家不要误会 WhatCms识别 通过Exchange页面特征识别 Ladon >= 7.3.2 用法 Ladon target WhatCms 例子 单IP:Ladon 192.168.1.8 WhatCms C段:Ladon 192.168.1.1/c WhatCms B段:Ladon 192.168.1.1/b WhatCms ip列表 同目录放ip txt 命令:Ladon whatcms 单个URL 命令:Ladon https://192.168.1.8 .
附加到Exchange命令行管理程序中的proxyAddresses列表
cunchi8090的博客
07-21 529
Adding to a list of EmailAddresses in Exchange has the potential to be one of those 'gotcha' issues that, if performed incorrectly, can really make you momentarily rethink your ca...
腾讯Blade Team揭示语法解析器安全漏洞挖掘策略
4. **结构化Fuzzer应用**:讲解了使用自动化工具如Fuzzing技术进行大规模漏洞检测的过程,这种技术可以模拟随机输入以寻找潜在的规则漏洞。 5. **研究成果展示**:提到了Tencent Blade Team的重要发现,如首个谷歌...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值