Micosoft在定期的更新之外,特定發放專門針對幾個Exchange Server安全漏洞的補丁,其中四個安全漏洞,根據公司表示已經被用作針對性攻擊(Targeted Attack),建議用戶盡快安裝有關補丁。
導致公司網絡被入侵的風險
四個已經被利用的最危險安全漏洞讓攻擊者進行三階段的攻擊,首先他們能存取Exchange伺服器,然後他們創建web shell去遙距控制伺服器,最後他們從受害者網絡盜取資料。相關的安全漏洞包括:
- CVE-2021-26855:可以用作偽冒伺服器方的訪問,導致遙距執行代碼。
- CVE-2021-26857:可以以系統的身份執行任意代碼(雖然需要管理員權限或利用上方的漏洞)
- CVE-2021-26858和CVE-2021-27065:可以被攻擊者用來覆寫伺服器上的檔案
網絡犯罪份子把這四個安全漏洞結合起來運用,不過根據Microsoft的資料,初始攻擊時犯罪份子有時會使用被盜的登入憑證,在伺服器上認證自己而無需使用CVE-2021-26855安全漏洞。此外,在這次的補丁中同時修復了幾個Exchange內的細微安全漏洞,這些漏洞暫時未發現與針對性攻擊有關連。
舊版本Microsoft Exchange Server也受影響
雲端版本的Exchange並不受以上的安全漏洞影響,威脅只影響到在機構自己架構內的伺服器,最初Microsoft為Microsoft Exchange Server 2013、Microsoft Exchange Server 2016和Microsoft Exchange Server 2019推出更新,並另外為Microsoft Exchange Server 2010提供深度防護更新,然而,因為漏洞的嚴重性,公司對較舊的Exchange Server也推出了修復補丁。
根據Microsoft的研究人員透露,黑客組織Hafnium利用以上的安全漏洞盜取機密資料,他們的攻擊目標包括美國工業機構、傳染病研究員、律師行、非謀利機構和政治分析員,確實受害者數字不明,但根據KrebOnSecurity的報導,至少3萬家美國機構,包括小企業、城鎮政府和地區政府都因為以上漏洞而被入侵。Kaspersky的專家發現並非美國機構有危機,其他地方的網絡罪犯也正在使用相關的安全漏洞,有關的攻擊資料可以瀏覽Securelist。
如果從MS Exchange攻擊中保持安全
- 首先,對所有Microsoft Exchange Server安裝補丁,如果機構不能安裝更新, Microsoft建議幾個替代方法。
- 根據Microsoft的資料,拒絕Exchange伺服器上port 443的不受信任存取,或限制機構網絡外的連線,可以阻止開始第一階段攻擊,但無助於攻擊者已經進入基建內部,或他們已取得管理員權限去執行惡意檔案。
- Endpoint Detection and Response級別的方案(如果有內部有專家),或外判的Managed Detection and Response服務專家,對惡意行為展開偵查。
- 時刻謹記所有連接互聯網的電腦、伺服器或工作站,都需要可靠的防護方案去主動偵測惡意行為。
資料來源:Kaspersky Blog
