Hafnium 提高攻擊火力!美國逾 3 萬家組織的 Exchange Server 遭駭

上星期微軟發出安全公告,指出駭客組織正積極駭入Exchange Server的4項漏洞。獨立資安部落格KrebsonSecurity及Wired報導,至少有3 萬家美國政府和企業的Exchange郵件系統已經被駭。

上星期微軟發出安全公告,指出駭客組織正積極駭入 Exchange Server 的 4 項漏洞。獨立資安部落格 KrebsonSecurityWired 報導,至少有 3 萬家美國政府和企業的 Exchange 郵件系統已經被駭。

微軟上周三 (3/3) 指出,這波攻擊是由中國政府支持的駭客組織 Hafnium,他們利用美國的虛擬伺服器服務 (VPS) 為據點對美國企業或公家單位發動「有限的目標式」攻擊。此外,Hafnium 駭入 Exchange Server 系統後,還會在系統上安裝 web shell 程式作為長期遠端控制後門,包括竊取電子郵件、執行程式碼或在受害者網路上橫向移動。

報導引述為美國國家安全顧問做過簡報的 2 名安全專家的說法,自從微軟上周三公告安全公告短短幾天內,Hafnium 在全球大幅升高攻擊火力,駭入全球未修補的 Exchange Server。

消息人士透露,美國受害單位包括數千家州及市政府、消防及警察局、學校校區、金融機構、信用合作社及其他非營利機構。這些組織大多數自建 Exchange Server 以及設立 Outlook Web Access (OWA) 外部存取。全球則有數十萬台 Exchange Server 被駭,每一台伺服器大約代表一家企業或政府用戶。

另一名消息人士指出,由於被駭組織太多,偵測和清理惡意程式恐怕曠日廢時。

首先發現攻擊行動並通報微軟的 Volexity 擔心,清理的動作愈慢,愈有可能給攻擊者更多時間利用 web shell 進行第二階段的行動,進而深入企業或政府單位內部網路。

微軟上周已經緊急釋出 Exchange Server 更新版,修補受影響的 2013、2016 和 2019 版 Exchange。Volexity 警告,如果企業現在還沒有更新到最新版 Exchange Server,有極高可能已經被駭。

相較之下,12 月因為使用 SolarWinds Orion 平台軟體而被惡意程式感染的政府及民間企業單位,也才 1.8 萬家。

由於受害組織包含美國州、市政府及地方政府單位,加上 Exchange Server 在聯邦政府的普及程度,美國網路安全暨基礎架構安全署 (CISA) 發佈緊急指令,要求所有聯邦政府單位應檢查所有 Exchange 伺服器是否有入侵指標 (Indications of Compromise) 或異常活動,包括有資料被存取、可疑程式等等,確定乾淨後再儘速更新到最新版 Exchange。無力檢查者則應立即將 Exchange Server 從網路下線。

來源:The Verge

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2023 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416