记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华因漏洞频发,微软敦促客户保护本地 Exchange 服务器
据The Hacker News消息,微软正敦促客户更新他们的 Exchange 服务器,并采取措施加强环境,例如启用Windows 扩展保护和配置基于证书的 PowerShell 序列化有效负载签名。
微软 Exchange团队表示,未打补丁的本地 Exchange 环境通常会被攻击者盯上,进行包括数据泄露等方面在内的各种恶意攻击,并强调,微软发布的缓解措施只是权宜之计,可能不足以抵御各种攻击,用户必须安装必要的安全更新来保护服务器。
近年来, Exchange Server 已被证明是一种十分有利可图的攻击媒介,其中的许多安全漏洞曾被用做零日攻击。
攻击者部署后门,窃取 Exchange 电子邮件
网络安全研究人员将该 APT 组织追踪为 UNC3524,并强调在某些情况下,该组织可以对受害者环境进行超过 18 个月的访问,展示了其 “先进 “的隐匿能力。
在每一个 UNC3524 受害者环境中,攻击者都会针对一个子集的邮箱,集中其注意力在执行团队和从事企业发展、兼并和收购的员工或 IT 安全人员身上。
FBI 已展开行动 从被黑 Exchange 服务器中移除后门
美国休斯敦的一家法院已经授权 FBI 展开行动,从美国数百台微软 Exchange 电子邮件服务器中“复制并删除”后门。在几个月前,黑客利用 4 个此前尚未被发现的漏洞攻击了数千个网络。美国司法部本周二宣布了这次活动,并表示这项活动是“成功”。
今年 3 月,黑客组织 Hafnium 利用 4 个漏洞链成功入侵了 Exchange 服务器,并窃取了存储在服务器上的内容。微软虽然修复了这些漏洞,但补丁并没有关闭已经被入侵的服务器的后门。几天之内,其他黑客组织开始用同样的漏洞打击脆弱的服务器,部署勒索软件。
司法部在一份声明中表示:“随着补丁的应用,受感染的服务器数量有所下降。
白宫向美国各级政府机构下命令:赶紧给微软服务器打补丁
北京时间4月14日早间消息,白宫最高网络安全官员向各政府机构下达命令,要求它们为微软公司Exchange邮件服务器安装新补丁,因为服务器软件存在漏洞,可能会被黑客利用。
日前,美国国家安全局在软件中发现4个漏洞,于是上报给微软,这才有了今天的命令。负责网络和新兴技术的副国家安全顾问安妮·纽伯格(Anne Neuberger)在声明中表示:“我们意识到漏洞可能会带来系统性风险,所以有必要及时披露。”
微软声称至今并没有发现有谁利用漏洞,但黑客将会研究新补丁,看看微软修复了什么,然后黑客可能会利用漏洞攻击未打补丁的计算机。
我们是如何快速阻击针对Exchange服务器Zero-Day漏洞的入侵活动的(上)
原文地址:https://www.crowdstrike.com/blog/falcon-complete-stops-microsoft-exchange-server-zero-day-exploits/
近期,微软的Microsoft Exchange服务器曝出了几个严重的安全漏洞,并有攻击者利用这些漏洞发动了入侵活动。本文中,我们详细介绍了我们的安全团队是如何通过齐心协力,在几分钟内无缝检测、理解和应对这一新威胁,并最终阻止相关的入侵活动的。
发布时间:2021-03-16 13:39 |
阅读:270101 | 评论:0 |
标签:CVE-2021-26855 CVE-2021-26857 CVE-2021-26858 CVE-2021-27065
我们是如何快速阻击针对Exchange服务器Zero-Day漏洞的入侵活动的(下)
原文地址:https://www.crowdstrike.com/blog/falcon-complete-stops-microsoft-exchange-server-zero-day-exploits/
近期,微软的Microsoft Exchange服务器曝出了几个严重的安全漏洞,并有攻击者利用这些漏洞发动了入侵活动。本文中,我们详细介绍了我们的安全团队是如何通过齐心协力,在几分钟内无缝检测、理解和应对这一新威胁,并最终阻止相关的入侵活动的。
发布时间:2021-03-16 13:39 |
阅读:223197 | 评论:0 |
标签:CVE-2021-24085 CVE-2021-26855 CVE-2021-26857 CVE-2021-26858
【安全通告】Microsoft Exchange 远程代码执行漏洞(CVE-2020-17144)
文章目录综述受影响版本解决方案阅读: 1综述在微软最新发布的12月安全更新中公布了一个存在于 Microsoft Exchange Server 2010中的远程代码执行漏洞(CVE-2020-17144),官方定级 Important。漏洞是由程序未正确校验cmdlet参数引起。经过身份验证的攻击者利用该漏洞可实现远程代码执行。该漏洞和 CVE-2020-0688 类似,也需要登录后才能利用,不过在利用时无需明文密码,只要具备 NTHash 即可。除了常规邮件服务与 OWA外,EWS接口也提供了利用所需的方法。漏洞的功能点本身还具备持久化功能。
CVE-2020-16875:Microsoft Exchange RCE复现
关注我们,一起学安全!
作者:zhang0b@Timeline Sec
本文字数:727
阅读时长:2~3min
声明:请勿用作违法用途,否则后果自负
0x01 简介
Microsoft Exchange Server 是个消息与协作系统。Exchange server可以被用来构架应用于企业、学校的邮件系统或免费邮件系统。它还是一个协作平台。你可以在此基础上开发工作流,知识管理系统,Web系统或者是其他消息系统。
0x02 漏洞概述
由于对cmdlet参数的验证不正确,Microsoft Exchange服务器中存在一个远程执行代码漏洞。
发布时间:2020-09-24 16:48 |
阅读:393327 | 评论:0 |
标签:漏洞复现 cmdlet参数 CVE-2020-16875 Exchange get_xml函数 Microsoft Ex
滥用 Exchange:通过 API 调用获取域管理员权限
在大多数使用活动目录和 Exchange 的组织中,Exchange 服务器拥有过高的特权,以至于在 Exchange 服务器上拿到管理员权限就足以升级到域管理员权限。 最近我偶然看到了 ZDI 的一篇博客文章,其中详细介绍了一种方法,可以通过 HTTP 使用 NTLM 对攻击者进行 Exchange 身份验证。 这可以与 NTLM 中继攻击相结合,将任何拥有邮箱的用户升级到域管理员,在我所见过的使用 Exchange 的组织中,可能有90% 的组织中都可以成功利用这种攻击。 这种攻击在默认情况下是可能成功利用的,在我撰写这篇博文时还没有可用的补丁,但是有一些缓解措施可以用来防止这种权限提升。
关于利用Exchange攻击域管理员权限的一些建议
最近,CERT协调中心(CERT/CC)发布了一个漏洞提示,警告Microsoft Exchange 2013及之后的版本很容易受到NTLM中继攻击,允许攻击者可以利用该漏洞获得域管理权限,进而发起攻击。所以,依赖Microsoft Exchange的组织目前面临严重数据泄露的风险。这种攻击尤其令人担忧,因为它可以获得域控制器的权限,而域控制器本质上相当于一个单位的门卫。因为域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。
自己动手Bypass Android Exchange
* 原创作者:diigu,本文属FreeBuf原创奖励计划,未经许可禁止转载
一直以来巨硬提供的Exchange电子邮件系统都是企业级邮件解决方案的首选,它具有NB的安全性,同时也具备很多优秀的功能。
用户在使用Exchange服务时,电子邮件客户端会根据服务器要求的安全等级进行验证客户端系统的安全性设置是否满足服务器的要求,如果满足服务器要求的安全等级则允许进行收发邮件,否则将无法继续与服务器进行通信。
以我所在使用的邮箱为例,在安卓客户端中登录邮箱时,会提示”***.com”服务器要求您允许其远程控制您Android设备的某些安全功能。
Cacti监控系统注入漏洞引发的内网血案
前言:
安全是个整体,任何一个短板都会造成安全事故,从边界网络到IDC 运维网络再到办公网络,都是个整体每一处网络都不能忽视。
企业在为安全做了多层防护不是一个IDS,WAF,杀毒软件安全防护能搞定事,为何内网不堪一击,真有攻击发生时,这些防护策略能否觉察到攻击。
案例:注入到shell再到内网域控
整个事件起因是源自 Cacti 注入漏洞引起, Cacti Centreon企业服务器版本2.2->3.0 存在远程SQL注入和远程命令注入漏洞。
发布时间:2015-01-30 14:20 |
阅读:679153 | 评论:0 |
标签:内网渗透 Cacti Centreon Cacti 注入漏洞 Exchange gpp.rb Groups.xml li
黑帝公告 📢
❤十年经营、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤
🙇🧎¥由自富财,长成起一↓
❤用费0款退球星,年1期效有员会
