Hafnium提高攻擊火力!美國逾3萬家組織的Exchange Server遭駭

上星期微軟發出安全公告,指出駭客組織正積極駭入Exchange Server的4項漏洞。獨立資安部落格KrebsonSecurity及Wired報導,至少有3 萬家美國政府和企業的Exchange郵件系統已經被駭。

上星期微軟發出安全公告,指出駭客組織正積極駭入Exchange Server的4項漏洞。獨立資安部落格KrebsonSecurityWired報導,至少有3 萬家美國政府和企業的Exchange郵件系統已經被駭。

微軟上周三(3/3)指出,這波攻擊是由中國政府支持的駭客組織Hafnium,他們利用美國的虛擬伺服器服務(VPS)為據點對美國企業或公家單位發動「有限的目標式」攻擊。此外,Hafnium駭入Exchange Server系統後,還會在系統上安裝web shell程式作為長期遠端控制後門,包括竊取電子郵件、執行程式碼或在受害者網路上橫向移動。

報導引述為美國國家安全顧問做過簡報的2名安全專家的說法,自從微軟上周三公告安全公告短短幾天內,Hafnium在全球大幅升高攻擊火力,駭入全球未修補的Exchange Server。

消息人士透露,美國受害單位包括數千家州及市政府、消防及警察局、學校校區、金融機構、信用合作社及其他非營利機構。這些組織大多數自建Exchange Server以及設立Outlook Web Access (OWA)外部存取。全球則有數十萬台Exchange Server被駭,每一台伺服器大約代表一家企業或政府用戶。

另一名消息人士指出,由於被駭組織太多,偵測和清理惡意程式恐怕曠日廢時。

首先發現攻擊行動並通報微軟的Volexity擔心,清理的動作愈慢,愈有可能給攻擊者更多時間利用web shell進行第二階段的行動,進而深入企業或政府單位內部網路。

微軟上周已經緊急釋出Exchange Server更新版,修補受影響的2013、2016和2019版Exchange。Volexity警告,如果企業現在還沒有更新到最新版Exchange Server,有極高可能已經被駭。

相較之下,12月因為使用SolarWinds Orion平台軟體而被惡意程式感染的政府及民間企業單位,也才1.8萬家。

由於受害組織包含美國州、市政府及地方政府單位,加上Exchange Server在聯邦政府的普及程度,美國網路安全暨基礎架構安全署(CISA)發佈緊急指令,要求所有聯邦政府單位應檢查所有Exchange伺服器是否有入侵指標(Indications of Compromise)或異常活動,包括有資料被存取、可疑程式等等,確定乾淨後再儘速更新到最新版Exchange。無力檢查者則應立即將Exchange Server從網路下線。

來源:The Verge

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2021 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416