微軟發布修補程式以來,「每天」仍有數不清的 Exchange Server 漏洞攻擊

作者 | 發布日期 2021 年 03 月 24 日 8:30 | 分類 Microsoft , 伺服器 , 網路 Telegram share ! follow us in feedly


雖然微軟早在 2 日便發布修補 Exchange Server 郵件伺服器 4 個重大零時差漏洞更新公告,但即時漏洞修補發布至今已過 3 週,但仍有許多企業組織仍未對自家 Exchange Server 漏洞進行修補,因而成為網路犯罪份子的鎖定目標。據網路安全商 F-Secure 指出,正因為如此,如今「每天」仍有成千上萬起專門針對微軟 Exchange Server 零時差漏洞的網路攻擊事件發生。 

網路犯罪分子緊抓住眾多組織的僥倖心態,加大發動 Exchange Server 零時差漏洞攻擊的力度與廣度,F-Secure 安全研究人員發現,每天都有數萬起針對全球組織的攻擊,這些組織仍在運行有漏洞的 Exchange Server 郵件伺服器。再就 F-Secure 的分析,網路可見的 Exchange 郵件伺服器,只有約一半更新微軟修補程式。

F-Secure 資深安全顧問 Antti Laatikainen 表示:「如今全世界有成千上萬的伺服器正在遭駭。遭駭的速度快到讓我們數不過來。這是一場正在進行的全球性災難。」

分析自家網路,確認自己是否已被駭客拜訪過

最令人擔心的,成功入侵微軟 Exchange Server 的漏洞攻擊,不僅可以存取業務運行核心的敏感資訊,而且還可能為其他攻擊(包括勒索軟體活動)開啟長驅直入的大門。也因為如此,儘快更新漏洞修補程式便顯得非常重要,因為更新修補作業拖得愈久,等於讓網路犯罪份子擁有更充足的時間準備好漏洞攻擊。

另外還有一點更需注意的是,即使組織已完成這次的漏洞修補,也無法保證在更新修補程式之前自己絕對沒被駭客入侵過,因此,最重要的是要分析自家網路,以檢查網路是否已被網路犯罪分子存取。

中國 Hafnium 駭客組織被認為是這連串漏洞攻擊的幕後黑手

當無法安裝重大微軟 Exchange 更新時,英國國家網路安全中心(National Cyber Security Centre, NCSC)建議,應封鎖 Exchange 伺服器 443 連接埠不可信賴的連接,同時應設定 Exchange,讓該郵件伺服器只能透過 VPN 遠端存取。

除此之外,微軟並提供因應 Exchange Server 漏洞的額外解方,亦即在自家 Defender 防毒軟體中更新新增自動緩解工具,其能防止未進行修補的伺服器淪為攻擊受害者。

微軟並將當前成千上萬起 Exchange 漏洞攻擊活動歸咎於中國贊助的 APT 駭客組織 Hafnium 身上。不論如何,一旦漏洞在修補程式發布後公開,其他國家贊助和網路犯罪駭客組織便有可能爭相試圖攻擊尚未套用修補程式的微軟 Exchange 伺服器。總而言之,還是先把漏洞補上吧!這才是當務之急。

(首圖來源:Microsoft, Public domain, via Wikimedia Commons)