Microsoft Exchange服务器被新的LockFile勒索软件入侵原创
在利用最近披露的ProxyShell漏洞入侵Microsoft Exchange服务器后,一个名为LockFile的新的勒索软件团伙对Windows域进行加密。
ProxyShell是由三个连锁Microsoft Exchange漏洞组成攻击的名称,这些漏洞导致未经身份验证的远程代码执行。
Devcore首席安全研究员Orange Tsai在今年4月份Pwn2Own 2021黑客大赛中发现它们,将它们链接在一起以接管Microsoft Exchange 服务器 。
CVE-2021-34473 - 预身份验证路径混淆导致ACL绕过(KB5001779于4月修补)
CVE-2021-34523 - Exchange PowerShell后端的特权提升(KB5001779于4月修补)
CVE-2021-31207 - 授权后任意文件写入导致 RCE(KB5003435于5月修补)
虽然微软在2021年5月完全修补了这些漏洞,但最近披露了更多的技术细节,允许安全研究人员和威胁参与者复制该漏洞。
据BleepingComputer上周报道,这导致攻击者积极使用ProxyShell漏洞扫描并攻击微软Exchange服务器。在利用Exchange服务器后,攻击者投放了可用于上传其他程序并执行它们的web shell。
NCC Group的漏洞研究员 Rich Warren称,Web shell被用于安装 .NET 后门,该后门下载了无害的有效负载。
此后,一种名为LockFile的新勒索软件操作使用Microsoft Exchange ProxyShell和 Windows PetitPotam漏洞来接管Windows域并加密设备。
在破坏网络时,攻击者将首先使用ProxyShell漏洞访问内部部署的Microsoft Exchange服务器。赛门铁克表示,一旦他们站稳脚跟,LockFile 团伙就会使用 PetitPotam漏洞来接管域控制器,从而接管Windows域。
关于LockFile勒索软件
目前,关于新的LockFile勒索软件操作还不太清楚。
今年7月首次看到这封勒索信时,它的名字是“LOCKFILE-README”。Hta ',但没有任何特定的品牌,如下所示。
从上周开始,BleepingComputer开始收到勒索软件团伙的报告,该团伙使用带有标记的勒索笔记,表明它们被称为“LockFile”,如下所示。
这些赎金票据使用“[victim_name]-LOCKFILE-README.hta”的命名格式,并提示受害者通过Tox或电子邮件与他们联系以协商赎金。该操作使用的当前电子邮件地址是contact@contipauper.com,这似乎参考了Conti勒索软件的操作。当加密文件时,勒索软件将附加.lockfile扩展名到加密文件的名称。
超过30,400台Exchange服务器易受攻击
尽管微软在今年5月和7月修补了这三个漏洞。但就像今年3月和4月披露的 ProxyLogon和ProxyOracle一样,并非所有服务器管理员都及时修补易受攻击的系统。
在ProxyShell概念验证代码发布两天后,ISC SANS于8月8日进行一次扫描,发现总共 100,000个系统中的30,400多台Exchange服务器尚未修补,并且仍然容易受到攻击。
尽快打补丁
由于LockFile操作同时使用Microsoft Exchange ProxyShell漏洞和Windows PetitPotam NTLM Relay漏洞,因此Windows管理员必须安装最新的更新。
对于ProxyShell漏洞,您可以安装最新的Microsoft Exchange累积更新来修补该漏洞。
要修补PetitPotam攻击,你可以使用一个非官方的补丁从0patch来阻止这个NTLM中继攻击向量,或者应用NETSH RPC过滤器来阻止对MS-EFSRPC API中脆弱函数的访问。
Beaumont表示可以执行以下Azure Sentinel查询来检查Microsoft Exchange服务器是否已扫描ProxyShell漏洞。
W3CIISLog
| where csUriStem == “/autodiscover/autodiscover.json”
| where csUriQuery has “PowerShell” | where csMethod == “POST”
强烈建议所有组织尽快应用补丁并为其Exchange服务器创建脱机备份。
启示
美国国家标准与技术局(NIST)、国家漏洞数据库(NVD)数据显示,90%以上的网络安全问题是由软件自身的安全漏洞被利用导致,由此可见软件中漏洞为网络安全带来极大危害。从以上可以看出,尽管软件开发公司已针对漏洞及时发布补丁,但未进行修正的企业仍旧大量存在,网络安全与漏洞之间存在一场较量,谨慎预防网络攻击的公司成为最后赢家。随着敏捷开发盛行软件开发周期逐渐缩短,面对潜藏的网络攻击者和恶意软件,软件安全需置于开发首位。调查显示,超过六成的安全漏洞与代码有关,而通过静态代码检测可以减少30-70%的安全漏洞,结合SCA、动态应用安全测试等方式,在软件开发期间确保软件安全,不但为网络安全打好基础,也将企业修复漏洞成本降至最低。
来源:https://juejin.cn/news/6999823251140509703
原文链接:https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-being-hacked-by-new-lockfile-ransomware/