微软警告 MOVEit Transfer 文件共享系统存在零日漏洞，黑客可任意修改数据库 SQL 语句

图片地址：https://img.ithome.com/newsuploadfiles/2023/6/db571cce-ad79-41b6-9552-129df3e5f466.jpg?x-bce-process=image/format,f_auto

IT之家 6 月 6 日消息，MOVEit Transfer 是美国 Progress 公司所开发的 MFT 档案共享系统，可以让企业安全地传输文件。日前微软发布推文，警告用户须留意 MOVEit Transfer 中存在的零日漏洞 CVE-2023-34362。▲ 图源 Microsoft Threat IntelligenceCVE-2023-34362 漏洞允许未经验证的攻击者，读取 MOVEit Transfer 资料库，而依据用户所使用的 MySQL、Microsoft SQL Server 或 Azure SQL 数据库种类，攻击者就能推断出数据库结构和内容，并对其中的 SQL 语句进行破坏。经微软调查，此次 MOVEit Transfer 漏洞攻击的幕后主使，极有可能是之前操作勒索软件和经营 Clop 勒索网站的黑客 Lace Tempest。过去 Lace Tempest 也曾使用类似的漏洞，窃取文件并