Exchange Server 零時差漏洞攻擊頻傳,可用四招因應

作者 | 發布日期 2021 年 03 月 16 日 10:40 | 分類 Microsoft , 科技生活 , 網路 Telegram share ! follow us in feedly


微軟 Exchange Server 電子郵件伺服器近期被發現了 4 個重大零時差漏洞,這些漏洞使攻擊者可以長期利用 Exchange Server 漏洞進行攻擊。對此,資安業者 Palo Alto Networks 估計,世界上仍然有超過 125,000 台未修補漏洞的 Exchange Servers,而在台灣發現約有 950 個 Exchange Server 零時差漏洞威脅,建議企業可遵循四大方法應對其環境中零時差潛在威脅。

首先,找到所有 Exchange Server,確定是否需要修補漏洞。Palo Alto Networks 表示,有漏洞的 Exchange Server 版本包括 2013 年版本、2016 年版本和 2019 年版本。雖然 Exchange 2010 不受Exchange 2013/2016/2019 年相同的攻擊鏈的攻擊,Microsoft 仍為此版本的軟體發布了 CVE-2021-26857 的修補。微軟也建議更新所有的 Exchange Server,並優先考慮對外網路的更新。

其次,修補並保護企業所有的 Exchange Server。如果不能立即更新或修補 Exchange Server,有一些緩解措施和解決方案可能會減少攻擊者利用 Exchange Server 的機會,例如 Exchange Server 的入站流量啟用了 SSL 解密,已更新為 Threat Prevention Content Pack 8380 或更高版本的 Palo Alto Networks 新世代防火牆(NGFW)可以防止這些漏洞。

第三,確定 Exchange Server 是否已經受到威脅。這些漏洞已經氾濫成災,並被積極利用了超過一個月,而 Palo Alto Networks Unit 42 威脅報告指出 Exchange Server 攻擊的最初行動者使用的戰術、技術與程序包括:使用7-Zip將竊取的數據壓縮到 ZIP 文件中以進行滲透、添加並使用 Exchange PowerShell 管理單元導出郵件信箱數據、使用 Nishang Invoke-PowerShellTcpOneLine 反向外殼;以及從 GitHub 下載 PowerCat,然後使用它打開與遠距伺服器的連接。

最後,如果遭受到攻擊,請與資安事件應變小組聯繫。如果 Exchange Server 已受到威脅,則仍應採取措施來保護它免受上述漏洞的侵害,防止其他攻擊者進一步破壞系統。同時企業則應制定事件應變計畫。

Palo Alto Networks 指出,在全球,預估受到此網路攻擊的企業數以萬計,更重要的是,在發佈漏洞修補之前,攻擊者已經充分利用這些漏洞至少兩個月的時間。而微軟威脅情報中心(MSTIC)將這些攻擊以「高可信度」認定為 HAFNUIM 駭客組織,他們評估 HAFNUIM 是由中國資助並在中國以外營運的組織。包括 MSTIC 和 Unit 42 在內的多個威脅情報團隊也發現多個網路攻擊者現正利用這些零時差漏洞作攻擊。針對此一威脅,企業可遵循上述應變方式,做好安全防範。

(首圖來源:shutterstock)