网络安全研究人员发现了一个新的零日漏洞,该漏洞已出现在 Microsoft 的 Exchange 电子邮件服务器中,并且已被不法分子利用。
网络安全供应商 GTSC详细介绍了这个尚未命名的漏洞,但有关该漏洞的信息仍在收集中。它被认为是一个“零日”漏洞,因为在补丁可用之前,公众对该漏洞的访问是显而易见的。
🚨 有报道称 Microsoft Exchange 中存在新的零日,并且正在被广泛利用 🚨
我可以确认大量 Exchange 服务器已被安装后门——包括一个蜜罐。
跟踪问题的线程如下:
—凯文·博蒙特 (@GossiTheDog) 2022 年 9 月 29 日
该漏洞的消息于 9 月 29 日上周四通过其零日倡议计划首次提交给微软,详细说明恶意软件 CVE-2022-41040 和 CVE-2022-41082 的利用“可能使攻击者能够在据趋势科技称,受影响的 Microsoft Exchange 服务器。
微软周五表示,它正在“加快时间表”来解决零日漏洞并创建补丁。然而,研究人员 Kevin Beaumont 在 Twitter 上证实,该漏洞已被恶意玩家用来访问多个 Exchange 服务器的后端。
由于利用已经在野外,企业和政府实体有很多机会受到不良行为者的攻击。 Qualys 恶意软件威胁研究副总裁 Travis Smith 告诉Protocol ,这是因为 Exchange 服务器依赖于互联网,切断连接会降低许多组织的生产力。
虽然 CVE-2022-41040 和 CVE-2022-41082 恶意软件如何工作的具体细节尚不清楚,但一些研究人员指出了与其他漏洞的相似之处。其中包括 Apache Log4j 缺陷和“ProxyShell”漏洞,它们都有远程代码执行的共同点。事实上,一些研究人员将新漏洞误认为是ProxyShell,直到明确旧漏洞在其所有补丁中都是最新的。这清楚地表明 CVE-2022-41040 和 CVE-2022-41082 是全新的、前所未有的漏洞。
“如果这是真的,那么它告诉你的是,即使是今天使用的一些安全实践和程序也不尽如人意。他们回到了作为这个IT 生态系统基础的代码和软件中的固有漏洞,”克林顿和布什白宫网络安全和反恐部门前成员罗杰·克雷西告诉 DigitalTrends。
“如果你在市场上占据主导地位,那么每当你认为你已经解决了一个剥削问题时,你就会结束,但事实证明,在你最意想不到的时候,还会出现其他与之相关的问题。交换并不是我所说的安全、安全产品的典型代表,”他补充说。
恶意软件和零日漏洞是所有科技公司相当一致的现实。但是,Microsoft 完善了其识别和修复问题的能力,并在攻击后为漏洞提供修补程序。
根据CISA 漏洞目录,自年初以来,微软系统已出现 238 个网络安全缺陷,占所有已发现漏洞的 30%。这些攻击包括针对其他主要技术品牌的攻击,包括 Apple iOS、Google Chrome、Adobe Systems 和 Linux 等。
“有很多技术 IT 公司的零日漏洞被发现并被对手利用。问题是微软在主导市场方面是如此成功,以至于当他们的漏洞被发现时,它在规模和范围方面的级联影响是非常大的。因此,当微软打喷嚏时,关键基础设施世界就会患上重感冒,这似乎是一个重复的过程,”Cressey 说。
今年早些时候解决的此类零日漏洞之一是 Follina (CVE-2022-30190),它允许黑客访问 Microsoft 支持诊断工具 (MSDT)。此工具通常与 Microsoft Office 和 Microsoft Word 相关联。黑客能够利用它来访问计算机的后端,授予他们安装程序、创建新用户帐户和操纵设备数据的权限。
该漏洞存在的早期说明已通过变通方法进行了补救。然而,一旦黑客开始使用他们收集的信息来针对西藏侨民以及美国和欧盟政府机构,微软就介入了永久性软件修复。