NTT：全球威胁情报中心2021年4月报告（英文版）（8页）.pdf

《NTT：全球威胁情报中心2021年4月报告（英文版）（8页）.pdf》由会员分享，可在线阅读，更多相关《NTT：全球威胁情报中心2021年4月报告（英文版）（8页）.pdf（8页珍藏版）》请在三个皮匠报告上搜索。

1、与内部部署的Microsoft Exchange服务器相关的多个零日漏洞的披露引发了大规模扫描和攻击，以获得对全球数千个IT网络的未经授权访问。到目前为止我们知道什么?2021年3月2日，Microsoft和Volexity披露了几个与本地Microsoft Exchange服务器相关的零日漏洞。这些漏洞给组织带来了巨大的风险，因为如果成功利用这些漏洞，它们将有助于服务器端身份验证、远程代码执行(RCE)和向服务器写入任意文件。成功利用此漏洞的主要原因是安装了webshell，提供了进入网络的后门访问。证据表明，攻击者早在2021年1月3日就开始利用这些漏洞。DEVCORE的安全研究人员最初发

2、现了这些漏洞，并于2021年1月5日向微软报告了这些漏洞。威胁情报分析员将剥削活动与高级持久性威胁(APT)行为者联系起来，例如被称为“铪”的APT，后者被怀疑是中国国家资助的威胁行为者。然而，更多的威胁行为者开发了更多的漏洞利用。这不仅导致了网络间谍行动，也导致了加密挖掘和勒索软件行动的增加。这对那些Microsoft和安全分析师敦促其激活事件响应程序(如果发现组织易受影响)的组织有重大影响。历史上，铪主要针对美国的实体，目的是从许多行业部门中过滤信息，包括传染病研究人员、律师事务所、高等教育机构、国防承包商、政策智库和非政府组织。此次活动的宣布与最近的SolarWinds目标事件非常接近，

3、但是这两者之间没有已知的联系，而且据观察，Microsoft Exchange事件更为普遍。截至2021年3月10日，报告显示，已知至少有60000个系统受到影响或面临风险。涉及哪些漏洞?CVE-2021-26855与服务器端请求伪造(SSRF)有关，它使威胁参与者能够发送巧尽心思构建的HTTP请求以作为Microsoft Exchange服务器进行身份验证。CVE-2021-26857涉及与统一消息服务相关联的不安全反序列化代码。该漏洞有助于促进远程代码执行，并作为本地系统用户执行权限提升。CVE-2021-26858涉及对服务器上文件系统的任意文件写入。需要身份验证，这可以通过利用CVE-2021-26855(以上)实现。