新的攻击活动：针对 Microsoft Exchange 服务器的零日漏洞警告

关键点摘要

越南安全公司 GTSC 警告称，存在针对 Microsoft Exchange 服务器的新零日漏洞，这种漏洞可能会导致远程代码执行。GTSC 的 SOC 团队在其博客中详细描述了这一尚未公开的 Exchange 漏洞 及其 临时应对计划，以帮助用户在 Microsoft 发布官方补丁之前阻止攻击。

SOC 团队首次在客户服务期间通过 IIS 日志发现该漏洞的攻击请求，这些请求的格式类似于 ProxyShell 漏洞，这一发现发生在八月份。GTSC 在发现该零日漏洞后立即联系了零日倡议Zero Day Initiative，希望 Microsoft 能尽快准备补丁，但在此期间，其他客户已遭受了该漏洞的攻击。ZDI 已确认该漏洞，并承认有两个漏洞的 CVSS 分数分别为 88 和 63。

GTSC 的红队确定了如何利用该漏洞访问 Exchange 后端组件并执行远程代码执行RCE，但并没有透露具体的技术细节。不过，他们表示，该漏洞的利用记录了攻击以收集信息并在受害系统中建立立足点。

SOC 团队还推测这些攻击来自一个 中国团体，因为网络壳代码来源于 Microsoft 为简体中文设计的字符编码。

“我们检测到许多模糊处理的 webshell 被放置在 Exchange 服务器上。通过用户代理，我们发现攻击者使用 Antsword，这是一个活跃的中国开源跨平台网站管理工具，支持 webshell 管理。”

GTSC 团队还注意到每条命令的结尾都有一个字符串，这是中国 Chopper web shell 的特征之一，同时还检测到恶意 DLL 被注入到内存中。

为减小遭受攻击的风险，该安全公司提供了临时解决方案，建议在 IIS 服务器的 URL 重写规则模块中添加规则，以阻止具有攻击指示的请求，具体步骤如下：

GTSC 还发布了指南与工具，以扫描 IIS 日志文件，并提供了该零日漏洞的损害指标。如需了解更多有关 Exchange 漏洞的信息，请访问 GTSC 的博客。

“我们建议全球所有使用 Microsoft Exchange Server 的组织/企业尽快检查、审查并应用上述临时解决方案，以避免潜在的严重损失。”