第269期安全事件

2021/03/08-2021/03/14


英文标题 Operation Exchange Marauder: Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities
中文标题 RTM 团伙攻击活动利用新的 Quoter 勒索软件
作者及单位 Josh Grunzweig, Matthew Meltzer, Sean Koessel, Steven Adair, Thomas Lancaster
内容概述
2021 年 1 月,Volexity 通过其网络安全监视检测到来自两个客户的 Microsoft Exchange 服务器的异常活动。Volexity 识别出大量数据发送到一个 IP 地址。并对 IIS 日志进行了检查,日志显示图像、程序、表和 Outlook Web Access(OWA)使用的字体相关的有效文件的入站请求。Volexity 通过对系统内存分析,确认攻击者利用 Microsoft Exchange(CVE-2021-26855)中的零日服务器端请求伪造(SSRF)漏洞窃取了几个用户邮箱的全部内容。此漏洞可以远程利用,不需要任何形式的身份验证和任何特殊知识,只需要知道运行 Exchange 的服务器以及要从中提取电子邮件的帐户即可。
新闻链接
https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/