在利用最近披露的ProxyShell漏洞入侵Microsoft Exchange服务器后，一个名为LockFile的新的勒索软件团伙对Windows域进行加密。

ProxyShell是由三个连锁Microsoft Exchange漏洞组成攻击的名称，这些漏洞导致未经身份验证的远程代码执行。
Devcore首席安全研究员Orange Tsai在今年4月份Pwn2Own 2021黑客大赛中发现它们，将它们链接在一起以接管Microsoft Exchange 服务器 。

CVE-2021-34473 - 预身份验证路径混淆导致ACL绕过(KB5001779于4月修补)
CVE-2021-34523 - Exchange PowerShell后端的特权提升(KB5001779于4月修补)
CVE-2021-31207 - 授权后任意文件写入导致 RCE(KB5003435于5月修补)

虽然微软在2021年5月完全修补了这些漏洞，但最近披露了更多的技术细节，允许安全研究人员和威胁参与者复制该漏洞。

据BleepingComputer上周报道，这导致攻击者积极使用ProxyShell漏洞扫描并攻击微软Exchange服务器。在利用Exchange服务器后，攻击者投放了可用于上传其他程序并执行它们的web shell。

NCC Group的漏洞研究员 Rich Warren称，Web shell被用于安装 .NET 后门，该后门下载了无害的有效负载。

此后，一种名为LockFile的新勒索软件操作使用Microsoft Exchange ProxyShell和 Windows PetitPotam漏洞来接管Windows域并加密设备。

在破坏网络时，攻击者将首先使用ProxyShell漏洞访问内部部署的Microsoft Exchange服务器。赛门铁克表示，一旦他们站稳脚跟，LockFile 团伙就会使用 PetitPotam漏洞来接管域控制器，从而接管Windows域。

关于LockFile勒索软件

目前，关于新的LockFile勒索软件操作还不太清楚。

今年7月首次看到这封勒索信时，它的名字是“LOCKFILE-README”。Hta '，但没有任何特定的品牌，如下所示。

从上周开始，BleepingComputer开始收到勒索软件团伙的报告，该团伙使用带有标记的勒索笔记，表明它们被称为“LockFile”，如下所示。

这些赎金票据使用“[victim_name]-LOCKFILE-README.hta”的命名格式，并提示受害者通过Tox或电子邮件与他们联系以协商赎金。该操作使用的当前电子邮件地址是contact@contipauper.com，这似乎参考了Conti勒索软件的操作。当加密文件时，勒索软件将附加.lockfile扩展名到加密文件的名称。

超过30,400台Exchange服务器易受攻击

尽管微软在今年5月和7月修补了这三个漏洞。但就像今年3月和4月披露的 ProxyLogon和ProxyOracle一样，并非所有服务器管理员都及时修补易受攻击的系统。

在ProxyShell概念验证代码发布两天后，ISC SANS于8月8日进行一次扫描，发现总共 100,000个系统中的30,400多台Exchange服务器尚未修补，并且仍然容易受到攻击。

尽快打补丁

由于LockFile操作同时使用Microsoft Exchange ProxyShell漏洞和Windows PetitPotam NTLM Relay漏洞，因此Windows管理员必须安装最新的更新。
对于ProxyShell漏洞，您可以安装最新的Microsoft Exchange累积更新来修补该漏洞。

要修补PetitPotam攻击，你可以使用一个非官方的补丁从0patch来阻止这个NTLM中继攻击向量，或者应用NETSH RPC过滤器来阻止对MS-EFSRPC API中脆弱函数的访问。

Beaumont表示可以执行以下Azure Sentinel查询来检查Microsoft Exchange服务器是否已扫描ProxyShell漏洞。

W3CIISLog
| where csUriStem == “/autodiscover/autodiscover.json”
| where csUriQuery has “PowerShell” | where csMethod == “POST”

强烈建议所有组织尽快应用补丁并为其Exchange服务器创建脱机备份。

启示

美国国家标准与技术局(NIST)、国家漏洞数据库(NVD)数据显示，90%以上的网络安全问题是由软件自身的安全漏洞被利用导致，由此可见软件中漏洞为网络安全带来极大危害。从以上可以看出，尽管软件开发公司已针对漏洞及时发布补丁，但未进行修正的企业仍旧大量存在，网络安全与漏洞之间存在一场较量，谨慎预防网络攻击的公司成为最后赢家。随着敏捷开发盛行软件开发周期逐渐缩短，面对潜藏的网络攻击者和恶意软件，软件安全需置于开发首位。调查显示，超过六成的安全漏洞与代码有关，而通过静态代码检测可以减少30-70%的安全漏洞，结合SCA、动态应用安全测试等方式，在软件开发期间确保软件安全，不但为网络安全打好基础，也将企业修复漏洞成本降至最低。

来源：https://juejin.cn/news/6999823251140509703
原文链接：https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-being-hacked-by-new-lockfile-ransomware/