摘要:
越南独立安全研究人员Nguyen Jan,针对Microsoft Exchange服务器中称为ProxyLogon的一组漏洞,发布了一个功能性的... 
越南独立安全研究人员Nguyen Jan,针对Microsoft Exchange服务器中称为ProxyLogon的一组漏洞,发布了一个功能性的「概念验证公共漏洞」利用程序,也就是说,他在Microsoft拥有的开放源代码平台上发布了可用于黑客攻击微软客户的代码。
虽然该代码不能「开箱即用 」,但是可以很容易地通过调整变成黑客入侵的工具。
随着该代码的不断传播,越来越多的黑客发现了这组漏洞,现在已经发现了至少10组黑客对包括欧洲银行业管理局、中东政府机构、南美政府机构的115个国家和地区的数十万多台服务器进行了攻击。
总部位于斯洛伐克的网络安全公司ESET确认了六个黑客组织:
代码被删除,作者仅收到一封邮件
在给作者发了一封邮件后,微软旗下的 GitHub 删除了这组代码。
GitHub发言人表示:「我们明白,发布和分发概念验证漏洞代码对安全社区具有教育和研究价值,我们的目标是平衡这种利益和保持更广泛的生态系统的安全,根据我们的可接受使用政策,在有报道称gist包含最近披露的一个正在被积极利用的漏洞的概念验证代码后,我们禁用了gist。」
作者表示:「删除代码是可以的,他发布的代码并不是「开箱即用」,而是需要进行一些调整。不过他的代码是根据真实的PoC写出来的,所以会对真正研究这个Bug的人有所帮助。发博文的原因是警告大家这个bug的关键性,让他们在危险来临之前,给自己的服务器打上最后一次补丁的机会!」
其实作者的做法非常正常,因为包括谷歌精英黑客团队Project Zero在内的安全研究人员,经常会发布概念验证的利用代码,以展示漏洞如何被滥用,这种做法的目的就是教育社区中的其他人,分享知识。
3月2日,Microsoft发布了 紧急带外安全更新 ,这些更新总共解决了四个零日问题(CVE-2021-26855,CVE-2021-26857,CVE-2021-26858和CVE-2021-27065),在过去三天内有数以万计的Microsoft Exchange服务器进行了修补。不幸的是,仍然有大约80,000台较旧的服务器无法直接应用最新的安全更新,所以现在强烈建议所有组织尽快应用补丁。
攻击原理
能找到这个勒索上VirusTotal [三个样品1, 2, 3 ],所有这些都是MingW平台编译的可执行文件。分析的一个包含以下PDB路径:
启动后,DearCry勒索软件将尝试关闭名为“ msupdate”的Windows服务。不知道此服务是什么,但它似乎不是合法的Windows服务。
关闭msupdate服务的代码
勒索软件开始对计算机上的文件进行加密。加密文件时,它将在文件名后附加.CRYPT扩展名,如下所示。
DearCry加密文件
勒索软件使用AES-256 + RSA-2048加密文件并添加“ DEARCRY!”字样。每个加密文件开头的字符串。
加密文件中的DEARCRY文件标记
加密计算机后,勒索软件将在Windows桌面上创建一个简单的勒索便笺,名为“ readme.txt”。该赎金记录包含两个威胁行为者的电子邮件地址和一个唯一的哈希,Gillespie指出这是RSA公钥的MD4哈希。
DearCry赎金记录
越南独立安全研究人员Nguyen Jan发布漏洞的博文:
%C3%A2n-t%C3%ADch-l%E1%BB%97-h%E1%BB%95ng-proxylogon-mail-exchange-rce-s%E1%BB%B1-k%E1%BA%BFt-h%E1%BB%A3p-ho%C3%A0n-h%E1%BA%A3o-cve-2021-26855-37f4b6e06265
