微软正敦促客户尽快安装紧急补丁，以防范那些技术娴熟的黑客，他们正积极利用Exchange服务器的四个零日漏洞。

这家软件制造商说，代表中国政府工作的黑客一直在利用这些以前不为人知的漏洞，沐鸣开户测速攻击已经打了完整补丁的本地Exchange服务器软件。迄今为止，微软对这些黑客的称呼是铪(Hafnium)，它是看到的唯一一个利用这些漏洞的群体，但该公司表示，情况可能会改变。

微软客户安全与信托公司副总裁汤姆·伯特在周二下午发表的一篇文章中写道:“尽管我们已经迅速部署了针对铪漏洞的更新，但我们知道，许多国家行为者和犯罪集团将迅速采取行动，利用任何未修补的系统。”“及时应用今天的补丁是防止这种攻击的最好方法。”

伯特没有透露目标的具体身份，只是说他们是使用本地交易服务器软件的企业。他说，铪在中国运作，主要是为了窃取美国传染病研究人员、律师事务所、高等教育机构、国防承包商、政策智库和非政府组织的数据。

伯特补充说，微软并不知道个人消费者是攻击目标，也不知道攻击影响了其他微软产品。他还表示，这些攻击与至少9个美国政府机构和大约100家私营公司遭到的与太阳风相关的黑客攻击没有任何关系。

零日在Microsoft Exchange Server 2013、2016和2019中都有。这四个漏洞是:

CVE-2021-26855，一个服务器端请求伪造(SSRF)漏洞，允许攻击者发送任意HTTP请求并认证为Exchange服务器。

CVE-2021-26857，统一消息服务中的不安全反序列化漏洞。不安全反序列化是指程序反序列化不受信任的用户可控数据。利用这个漏洞使铪能够在Exchange服务器上以系统的形式运行代码。这需要管理员权限或其他漏洞来利用。

CVE-2021-26858，认证后任意文件写入漏洞。如果Hafnium可以通过Exchange服务器进行身份验证，那么它就可以利用这个漏洞将文件写入服务器上的任何路径。该组织可以利用CVE-2021-26855 SSRF漏洞进行身份验证，或者破坏合法管理员的凭证。

CVE-2021-27065，认证后任意文件写入漏洞。如果Hafnium可以通过Exchange服务器进行身份验证，他们就可以利用这个漏洞将文件写入服务器上的任何路径。它可以利用CVE-2021-26855 SSRF漏洞进行身份验证，或者通过损害合法管理员的凭证进行身份验证。

广告

伯特说，这次袭击包括以下步骤:

通过偷来的密码或使用零日密码将黑客伪装成有权访问Exchange服务器的人员

创建一个web shell来远程控制受损的服务器

使用远程访问从目标的网络窃取数据

与往常一样，Hafnium在美国租用虚拟私人服务器运营。安全公司Volexity私下向微软报告了此次攻击。该公司表示，攻击似乎最早会在1月6日开始。

Volexity的研究人员乔什·格伦茨威格(Josh Grunzweig)、沐鸣开户测速马修·梅尔策(Matthew Meltzer)、肖恩·科塞尔(Sean Koessel)、史蒂文·阿代尔(Steven Adair)和托马斯·兰卡斯特(Thomas Lancaster)写道:“虽然攻击者最初似乎只是通过窃取电子邮件在很大程度上避开了人们的注意，但他们最近转而发起攻击，以获得立足点。”“从Volexity的角度来看，这种利用似乎涉及多个运营商使用各种工具和方法来转储凭证、横向移动和进一步的后门系统。”

更多细节，包括妥协的指标，可以在这里和这里找到。

除了Volexity，微软还赞扬安全公司Dubex私下向微软报告了攻击的不同部分，并协助随后的调查。使用易受攻击版本的Exchange Server的企业应尽快应用这些补丁。