Hafnium 提高攻擊火力！美國逾 3 萬家組織的 Exchange Server 遭駭

上星期微軟發出安全公告，指出駭客組織正積極駭入 Exchange Server 的 4 項漏洞。獨立資安部落格 KrebsonSecurity 及 Wired 報導，至少有 3 萬家美國政府和企業的 Exchange 郵件系統已經被駭。

微軟上周三 (3/3) 指出，這波攻擊是由中國政府支持的駭客組織 Hafnium，他們利用美國的虛擬伺服器服務 (VPS) 為據點對美國企業或公家單位發動「有限的目標式」攻擊。此外，Hafnium 駭入 Exchange Server 系統後，還會在系統上安裝 web shell 程式作為長期遠端控制後門，包括竊取電子郵件、執行程式碼或在受害者網路上橫向移動。

報導引述為美國國家安全顧問做過簡報的 2 名安全專家的說法，自從微軟上周三公告安全公告短短幾天內，Hafnium 在全球大幅升高攻擊火力，駭入全球未修補的 Exchange Server。

消息人士透露，美國受害單位包括數千家州及市政府、消防及警察局、學校校區、金融機構、信用合作社及其他非營利機構。這些組織大多數自建 Exchange Server 以及設立 Outlook Web Access (OWA) 外部存取。全球則有數十萬台 Exchange Server 被駭，每一台伺服器大約代表一家企業或政府用戶。

另一名消息人士指出，由於被駭組織太多，偵測和清理惡意程式恐怕曠日廢時。

首先發現攻擊行動並通報微軟的 Volexity 擔心，清理的動作愈慢，愈有可能給攻擊者更多時間利用 web shell 進行第二階段的行動，進而深入企業或政府單位內部網路。

微軟上周已經緊急釋出 Exchange Server 更新版，修補受影響的 2013、2016 和 2019 版 Exchange。Volexity 警告，如果企業現在還沒有更新到最新版 Exchange Server，有極高可能已經被駭。

相較之下，12 月因為使用 SolarWinds Orion 平台軟體而被惡意程式感染的政府及民間企業單位，也才 1.8 萬家。

由於受害組織包含美國州、市政府及地方政府單位，加上 Exchange Server 在聯邦政府的普及程度，美國網路安全暨基礎架構安全署 (CISA) 發佈緊急指令，要求所有聯邦政府單位應檢查所有 Exchange 伺服器是否有入侵指標 (Indications of Compromise) 或異常活動，包括有資料被存取、可疑程式等等，確定乾淨後再儘速更新到最新版 Exchange。無力檢查者則應立即將 Exchange Server 從網路下線。

來源：The Verge