Hafnium提高攻擊火力！美國逾3萬家組織的Exchange Server遭駭

上星期微軟發出安全公告，指出駭客組織正積極駭入Exchange Server的4項漏洞。獨立資安部落格KrebsonSecurity及Wired報導，至少有3 萬家美國政府和企業的Exchange郵件系統已經被駭。

微軟上周三(3/3)指出，這波攻擊是由中國政府支持的駭客組織Hafnium，他們利用美國的虛擬伺服器服務(VPS)為據點對美國企業或公家單位發動「有限的目標式」攻擊。此外，Hafnium駭入Exchange Server系統後，還會在系統上安裝web shell程式作為長期遠端控制後門，包括竊取電子郵件、執行程式碼或在受害者網路上橫向移動。

報導引述為美國國家安全顧問做過簡報的2名安全專家的說法，自從微軟上周三公告安全公告短短幾天內，Hafnium在全球大幅升高攻擊火力，駭入全球未修補的Exchange Server。

消息人士透露，美國受害單位包括數千家州及市政府、消防及警察局、學校校區、金融機構、信用合作社及其他非營利機構。這些組織大多數自建Exchange Server以及設立Outlook Web Access (OWA)外部存取。全球則有數十萬台Exchange Server被駭，每一台伺服器大約代表一家企業或政府用戶。

另一名消息人士指出，由於被駭組織太多，偵測和清理惡意程式恐怕曠日廢時。

首先發現攻擊行動並通報微軟的Volexity擔心，清理的動作愈慢，愈有可能給攻擊者更多時間利用web shell進行第二階段的行動，進而深入企業或政府單位內部網路。

微軟上周已經緊急釋出Exchange Server更新版，修補受影響的2013、2016和2019版Exchange。Volexity警告，如果企業現在還沒有更新到最新版Exchange Server，有極高可能已經被駭。

相較之下，12月因為使用SolarWinds Orion平台軟體而被惡意程式感染的政府及民間企業單位，也才1.8萬家。

由於受害組織包含美國州、市政府及地方政府單位，加上Exchange Server在聯邦政府的普及程度，美國網路安全暨基礎架構安全署(CISA)發佈緊急指令，要求所有聯邦政府單位應檢查所有Exchange伺服器是否有入侵指標(Indications of Compromise)或異常活動，包括有資料被存取、可疑程式等等，確定乾淨後再儘速更新到最新版Exchange。無力檢查者則應立即將Exchange Server從網路下線。

來源：The Verge