事件通告：駭客攻陷微軟Exchange伺服器的RCE零時差漏洞

【影響範圍】

• Microsoft Exchange

【細節描述】

˙越南資安服務業者GTSC在微軟的Exchange伺服器上，發現一個已遭開採的零時差遠端程式攻擊漏洞，已有組織因此遭駭。 ˙根據GTSC的分析，駭客的攻擊手法類似針對ProxyShell漏洞的攻擊，且該公司團隊已成功複製如何利用該漏洞存取Exchange後端元件，進而執行遠端程式攻擊。 此外，駭客不僅於受害系統上建立了據點，也透過不同的技術打造了後門，並於受害系統上橫向移動至其它伺服器。GTSC也偵測到駭客使用了於中國熱門的Web Shell跨平臺開源管理工具Antsword，來管理於受害Exchange伺服器上所植入的Web Shell。 Indicators of Compromise (IOCs) Webshell: ˙File Name: pxh4HG1v.ashx ˙Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1 ˙Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\pxh4HG1v.ashx ˙File Name: RedirSuiteServiceProxy.aspx ˙Hash (SHA256): 65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5 ˙Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx ˙File Name: RedirSuiteServiceProxy.aspx ˙Hash (SHA256): b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca ˙Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx ˙File Name: Xml.ashx (pxh4HG1v.ashx and Xml.ashx, 2 files have the same contents) ˙Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1 ˙Path: C:\inetpub\wwwroot\aspnet_client\Xml.ashx ˙Filename: errorEE.aspx ˙SHA256: be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257 ˙Path: C:\ProgramFiles\Microsoft\ExchangeServer\V15\FrontEnd\HttpProxy\owa\auth\errorEE.aspx ˙DLL: ˙File name: Dll.dll ˙SHA256: ˙074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82 ˙45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9 ˙9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0 ˙29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3 ˙c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2 ˙File name: 180000000.dll (Dump t? ti?n tr?nh Svchost.exe) ˙SHA256: 76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e IP: ˙125[.]212[.]220[.]48 ˙5[.]180[.]61[.]17 ˙47[.]242[.]39[.]92 ˙61[.]244[.]94[.]85 ˙86[.]48[.]6[.]69 ˙86[.]48[.]12[.]64 ˙94[.]140[.]8[.]48 ˙94[.]140[.]8[.]113 ˙103[.]9[.]76[.]208 ˙103[.]9[.]76[.]211 ˙104[.]244[.]79[.]6 ˙112[.]118[.]48[.]186 ˙122[.]155[.]174[.]188 ˙125[.]212[.]241[.]134 ˙185[.]220[.]101[.]182 ˙194[.]150[.]167[.]88 ˙212[.]119[.]34[.]11 URL: ˙hxxp://206[.]188[.]196[.]77:8080/themes.aspx C2: ˙137[.]184[.]67[.]33 HiNet SOC 建議管理者先進行清查IOC，確認無連線，以降低受駭風險。

【建議措施】

1.若版本為: Exchange Server 2016未更新到CU22以上，或是Exchange Server 2019未更新到CU11以上，則需要先手動安裝URL Rewrite。 2.若版本為Exchange Server 2013，建議升級至Exchange Server 2013 CU23並安裝所有安全更新，並且在安裝URL Rewrite前務必安裝KB2999226更新。 3.[10/8更新]在每一台Exchange Server上，不管是否有對外連線，設定緩解方是如同附件檔(ZeroDay緩解方式V4.docx)/MSRC公告，或是執行EOMTv2.PS1 script (10/8腳本更新: 調整阻擋模式)，完成設定後不須重啟服務或重開機。 4.關閉非Exchange Server管理者帳號的Remote PowerShell權限(10/2更新)。 4.1.先將所有帳號Exchange Remote PowerShell權限關閉，除了現正執行指令的AdminAccount1帳號: Get-User -ResultSize Unlimited | ?{$_.SamAccountName -ne "AdminAccount1"} | Set-User -RemotePowerShellEnabled:$false -Confirm:$false 4.2.然後再透過AdminAccount1把其他管理者開啟Exchange Remote PowerShell權限:Set-User -Identity AdminAccount2 -RemotePowerShellEnabled $True Note:不建議客戶對Internet管理者開放Remote PowerShell Ports。

【更新紀錄】

• 10/12更新更新建議措施