Microsoft confirms hackers are actively exploiting Exchange zero-day flaws



When combined together, an attacker can use the SSRF flag to remotely deploy malicious code to a target network. Last week, attacks had begun chaining two new zero-day Exchange server exploits as part of coordinated attacks. The exploits affect Exchange Server 2013, 2016, and 2019. When combined together, an attacker can use the SSRF flag to deploy malicious code to a target network.


結合すると、攻撃者はSSRFフラグを使用して、悪意のあるコードをターゲットネットワークにリモートで展開できます。先週、攻撃は、調整された攻撃の一環として、2つの新しいゼロデイエクスチェンジサーバーのエクスプロイトをチェーンし始めました。エクスプロイトはExchange Server 2013、2016、および2019に影響を与えます。結合すると、攻撃者はSSRFフラグを使用して悪意のあるコードをターゲットネットワークに展開できます。


Microsoft Exchange server is one of those enterprise staples, but it’s also a key target for cybercriminals.

Microsoft Exchange Serverはエンタープライズステープルの1つですが、サイバー犯罪者の重要なターゲットでもあります。

Last week, GTSC reported attacks had begun chaining two new zero-day Exchange exploits as part of coordinated attacks.  While information is limited, Microsoft has confirmed in a blog post that these exploits have been used by a suspected state-sponsored threat actor to target fewer than 10 organizations and successfully exfiltrate data.  The vulnerabilities themselves affect Exchange Server 2013, 2016, and 2019. The first, CVE-2022-41040 is a Server-Side Request Forgery (SSRF) vulnerability, and the second CVE-2022-41082 enables remote code execution if the attacker has access to PowerShell.  When combined together, an attacker can use the SSRF flag to remotely deploy malicious code to a target network.  MetaBeat 2022 MetaBeat will bring together thought leaders to give guidance on how metaverse technology will transform the way all industries communicate and do business on October 4 in San Francisco, CA.

先週、GTSCは、攻撃が調整された攻撃の一環として2つの新しいゼロデイ交換エクスプロイトをチェーンし始めたと報告しました。情報は限られていますが、Microsoftはブログの投稿で、これらのエクスプロイトが、10人未満の組織をターゲットにし、データを正常に除去するために、州が後援する疑いのある脅威アクターによって使用されていることを確認しました。脆弱性自体がExchange Server 2013、2016、および2019に影響を与えます。最初のCVE-2022-41040は、サーバー側のリクエスト偽造(SSRF)の脆弱性であり、2番目のCVE-2022-41082が攻撃者がアクセスした場合にリモートコード実行を可能にします。PowerShellへ。結合すると、攻撃者はSSRFフラグを使用して、悪意のあるコードをターゲットネットワークにリモートで展開できます。Metabeat 2022 Metabeatは、10月4日にカリフォルニア州サンフランシスコで、すべての産業がコミュニケーションとビジネスを行う方法をメタバーステクノロジーがどのように変化させるかについてのガイダンスを提供するために、Sound Leadersを集めます。

Given that 65,000 companies use Microsoft Exchange, enterprises need to be prepared for other threat actors to exploit these vulnerabilities.

65,000の企業がMicrosoft Exchangeを使用していることを考えると、企業はこれらの脆弱性を活用するために他の脅威アクターに備える必要があります。

After all, this isn’t the first time on-premises Exchange servers have been targeted as part of an attack.  In March last year, a Chinese threat actor called Hafnium exploited four zero-day vulnerabilities in on-premises versions of Exchange Server, and successfully hacked at least 30,000 U.S.

結局のところ、オンプレミスの交換サーバーが攻撃の一部としてターゲットにされたのはこれが初めてではありません。昨年3月、Hafniumと呼ばれる中国の脅威俳優が、Exchange Serverのオンプレミスバージョンで4つのゼロデイの脆弱性を活用し、少なくとも30,000の米国をハッキングしました。



During these attacks, Hafnium stole user credentials to gain access to enterprise’s exchange servers and deployed malicious code to achieve remote admin access, and begin harvesting sensitive data.  While only a handful of organizations have been targeted by this unknown state-sponsored threat actor, Exchange is a high-value target for cybercriminals because it provides a gateway to lots of valuable information.  “Exchange is a juicy target for threat actors to exploit for two primary reasons,” said Travis Smith, vice president of malware threat research at Qualys.  “First, Exchange is an email server, so it must be connected directly to the internet.

これらの攻撃中、Hafniumはユーザー資格情報を盗んでEnterpriseのExchangeサーバーにアクセスし、悪意のあるコードを展開してリモート管理者アクセスを実現し、機密データの収穫を開始しました。この未知の州が後援する脅威アクターの標的にされた組織はほんの一握りですが、Exchangeは多くの貴重な情報へのゲートウェイを提供するため、サイバー犯罪者の価値の高いターゲットです。「Exchangeは、2つの主な理由で脅威アクターが活用するためのジューシーな標的です」と、Malware Threat Researchの副社長であるTravis Smith氏は述べています。「最初に、Exchangeは電子メールサーバーなので、インターネットに直接接続する必要があります。

And being directly connected to the internet creates an attack surface which is accessible from anywhere in the world, drastically increasing its risk of being attacked,” Smith said.  Secondly, Exchange is a mission critical function — organizations can’t just unplug or turn off email without severely impacting their business in a negative way,” Smith said.  One of the main limitations of these vulnerabilities from an attacker’s perspective is that they need to have authenticated access to an Exchange server to leverage the exploits.  While this is a barrier, the reality is that login credentials are easy for threat actors to harvest, whether through purchasing one of the 15 billion passwords exposed on the dark web, or tricking employees into handing them over via phishing emails or social engineering attacks.  At this stage, Microsoft anticipates that there will be an uptick in activity around the threat.  In a blog released on the 30th of September, Microsoft noted “it is expected that similar threats and overall exploitation of these vulnerabilities will increase, as security researchers and cybercriminals adopt the published research into their toolkits and proof of concept code becomes available.”  Although there’s no patch available for the updates yet, Microsoft has released a list of remediation actions that enterprises can take to secure their environments.  Microsoft recommends that enterprises should review and apply the URL Rewrite Instructions in its Microsoft Security Response center post, and has released a script to mitigate the SSRF vulnerability.  The organization also suggests that organizations using Microsoft 365 Defender take the following actions:  Indirectly, organizations can also look to reduce the risk of exploitation by emphasizing security awareness and educating employees about social engineering threats, and the importance of proper password management to reduce the chance of a cybercriminal gaining administrative access to Exchange.  Lastly, it’s maybe time for organizations to consider whether running an on-premises Exchange server is necessary.

そして、インターネットに直接接続されると、世界のどこからでもアクセスできる攻撃面が作成され、攻撃されるリスクが大幅に増加します」とスミスは言いました。第二に、Exchangeはミッションクリティカルな機能です。組織は、マイナスの方法でビジネスに深刻な影響を与えることなく、電子メールを抜いたり、電子メールをオフにしたりすることはできません」とスミスは言いました。攻撃者の観点からのこれらの脆弱性の主な制限の1つは、エクスカチを活用するためにExchangeサーバーへの認証アクセスを持つ必要があることです。これは障壁ですが、現実には、ログイン資格情報は、ダークウェブで公開された150億のパスワードのいずれかを購入するか、フィッシングメールやソーシャルエンジニアリング攻撃を介して従業員を引き渡すことを断ち切るかどうかにかかわらず、脅威アクターが収穫するのが簡単です。この段階で、Microsoftは、脅威に関する活動が増加すると予想しています。 9月30日に発表されたブログで、マイクロソフトは「セキュリティ研究者とサイバー犯罪者がツールキットと概念実証コードの公開された研究を採用するため、同様の脅威とこれらの脆弱性の全体的な搾取が増加することが予想される」と述べました。更新にはまだ利用可能なパッチはありませんが、Microsoftは、企業が環境を確保するために取ることができる修復アクションのリストをリリースしています。 Microsoftは、企業がMicrosoft Security Response Center PostでURLの書き換え指示を確認して適用することを推奨し、SSRFの脆弱性を軽減するためのスクリプトをリリースしました。組織はまた、Microsoft 365 Defenderを使用する組織が次の行動をとることを提案しています。間接的に、組織はセキュリティ認識を強調し、ソーシャルエンジニアリングの脅威について従業員に教育することにより、搾取のリスクを軽減することもできます。交換への管理上のアクセスを得るサイバー犯罪の。最後に、組織がオンプレミスExchangeサーバーを実行する必要があるかどうかを検討する時が来たかもしれません。

VentureBeat’s mission is to be a digital town square for technical decision-makers to gain knowledge about transformative enterprise technology and transact.