信息來源：嘶吼

據(jù)其中幾位花了幾周時(shí)間研究漏洞的安全研究人員說，發(fā)現(xiàn)目前為這些漏洞（俗稱 "ProxyNotShell"）所提供的修復(fù)建議并不足以完全解決這些問題。

網(wǎng)絡(luò)安全公司Huntress的高級(jí)threatOps分析師團(tuán)隊(duì)負(fù)責(zé)人Dray Agha解釋說，微軟提供的原始修復(fù)措施是很容易被惡意利用的。

他說，由于這種緩解措施很容易被繞過，所以那些使用了原始修復(fù)措施的服務(wù)器現(xiàn)在仍然是很脆弱的。截至周二，微軟已經(jīng)重新更新了緩解措施的腳本，并考慮到了這種被繞過的情況。

但是不幸的是，我們很可能會(huì)看到這將會(huì)成為一場(chǎng)貓捉老鼠的游戲，因?yàn)楣粽吆桶踩芯咳藛T都在尋找新的方法來繞過微軟的緩解措施。

上周，在越南網(wǎng)絡(luò)安全公司GTSC的報(bào)告中，微軟確認(rèn)它目前正在調(diào)查這些問題，這些漏洞也正在野外被利用。GTSC向 趨勢(shì)科技的零日計(jì)劃報(bào)告了這個(gè)問題，該計(jì)劃也確認(rèn)了這些漏洞的存在。

微軟表示，它觀察到目前在全球有不到10個(gè)組織被這些漏洞攻擊。

該公司的安全團(tuán)隊(duì)解釋說，黑客組織很可能是一個(gè)國家支持的組織，他們主要利用兩個(gè)漏洞。

第一個(gè)是服務(wù)器端請(qǐng)求偽造漏洞，該漏洞被指定為CVE-2022-41040，它可以讓擁有郵件服務(wù)器上用戶賬戶憑證的攻擊者獲得未經(jīng)授權(quán)的訪問級(jí)別。第二個(gè)漏洞被定為CVE-2022-41082，該漏洞允許攻擊者遠(yuǎn)程代碼執(zhí)行，這類似于2021年給許多公司造成混亂的ProxyShell漏洞。GTSC表示，它目前還不方便公布這些漏洞的技術(shù)細(xì)節(jié)。

遠(yuǎn)程代碼執(zhí)行漏洞被認(rèn)為是特別危險(xiǎn)的，因?yàn)樗鼈兪构粽呖梢詫?duì)受害者的系統(tǒng)進(jìn)行修改。電子郵件也是許多企業(yè)日常辦公的重要軟件，并且內(nèi)部可能會(huì)包含很多敏感信息，這也使得它們成為了攻擊者的首要目標(biāo)。

網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）在發(fā)現(xiàn)這兩個(gè)漏洞數(shù)小時(shí)后，已將其添加到已知被利用的漏洞列表中，而微軟在周四也證實(shí)，這些漏洞目前也正在被攻擊者利用，并已經(jīng)影響到那些運(yùn)行的微軟Exchange Server 2013、2016和2019。

Huntress高級(jí)安全研究員約翰-哈蒙德證實(shí)，微軟最初的緩解措施可以很容易地被繞過，但他指出，微軟目前已經(jīng)提供了更新的自動(dòng)化工具，可以使那些打了官方補(bǔ)丁的服務(wù)器獲得更好的保護(hù)。

Sophos公司首席研究科學(xué)家Chester Wisniewski說，目前已知只有極少數(shù)的服務(wù)器由于這一漏洞受到了攻擊，這也為我們大家爭(zhēng)取了一點(diǎn)時(shí)間來實(shí)施緩解措施。

Wisniewski說，我們都還在等待官方補(bǔ)丁的發(fā)布，IT團(tuán)隊(duì)?wèi)?yīng)該迅速做好準(zhǔn)備，在官方補(bǔ)丁發(fā)布后盡快對(duì)漏洞進(jìn)行修復(fù)，因?yàn)槲覀冾A(yù)計(jì)攻擊者會(huì)在補(bǔ)丁發(fā)布后極短的時(shí)間內(nèi)進(jìn)行逆向工程，研究如何去利用這個(gè)漏洞。

Tenable的Claire Tills解釋說，這些漏洞似乎是ProxyShell的變種，Proxyshell漏洞是2021年底被披露的一連串漏洞。

Tills說，最明顯的區(qū)別是，這兩個(gè)最新的漏洞都需要身份認(rèn)證，而ProxyShell并不需要。

她補(bǔ)充說，ProxyShell是2021年發(fā)布的被利用最多的攻擊鏈之一。

網(wǎng)絡(luò)犯罪獲得的利益

一些研究人員說，他們看到GitHub上有人出售虛假的漏洞利用工具，F(xiàn)lashpoint研究人員說，他們?cè)诙碚Z黑客和惡意軟件論壇Exploit上看到一個(gè)漏洞被以25萬美元出售。但是他們無法核實(shí)該漏洞是真的還是假的。

Flashpoint和其他幾位專家一樣，也對(duì)微軟所認(rèn)為的Exchange Online客戶不需要采取任何措施提出了異議。Flashpoint研究人員說，這可能會(huì)使客戶陷入一種錯(cuò)誤的安全感中，客戶即使遷移到了Exchange Online，但同時(shí)也在內(nèi)部保留了一臺(tái)混合的服務(wù)器。

他們說，在這種情況下，客戶仍然需要對(duì)混合服務(wù)器進(jìn)行處置。

根據(jù)微軟發(fā)布的關(guān)于Exchange服務(wù)器更新的一般指導(dǎo)，即使你只在企業(yè)內(nèi)部使用Exchange服務(wù)器來管理Exchange相關(guān)對(duì)象，你也需要保持服務(wù)器處于最新版本。

不幸的是，一些研究人員已經(jīng)找到了繞過微軟最近發(fā)布的最新緩解措施的方法。

Vulcan Cyber的高級(jí)技術(shù)工程師Mike Parkin指出，希望微軟能夠盡快發(fā)布補(bǔ)丁，以解決眾多有潛在風(fēng)險(xiǎn)的企業(yè)內(nèi)部Exchange服務(wù)器的問題。