Hafnium提高攻擊火力!美國逾3萬家組織的Exchange Server遭駭
上星期微軟發出安全公告,指出駭客組織正積極駭入Exchange Server的4項漏洞。獨立資安部落格KrebsonSecurity及Wired報導,至少有3 萬家美國政府和企業的Exchange郵件系統已經被駭。
微軟上周三(3/3)指出,這波攻擊是由中國政府支持的駭客組織Hafnium,他們利用美國的虛擬伺服器服務(VPS)為據點對美國企業或公家單位發動「有限的目標式」攻擊。此外,Hafnium駭入Exchange Server系統後,還會在系統上安裝web shell程式作為長期遠端控制後門,包括竊取電子郵件、執行程式碼或在受害者網路上橫向移動。
報導引述為美國國家安全顧問做過簡報的2名安全專家的說法,自從微軟上周三公告安全公告短短幾天內,Hafnium在全球大幅升高攻擊火力,駭入全球未修補的Exchange Server。
消息人士透露,美國受害單位包括數千家州及市政府、消防及警察局、學校校區、金融機構、信用合作社及其他非營利機構。這些組織大多數自建Exchange Server以及設立Outlook Web Access (OWA)外部存取。全球則有數十萬台Exchange Server被駭,每一台伺服器大約代表一家企業或政府用戶。
另一名消息人士指出,由於被駭組織太多,偵測和清理惡意程式恐怕曠日廢時。
首先發現攻擊行動並通報微軟的Volexity擔心,清理的動作愈慢,愈有可能給攻擊者更多時間利用web shell進行第二階段的行動,進而深入企業或政府單位內部網路。
微軟上周已經緊急釋出Exchange Server更新版,修補受影響的2013、2016和2019版Exchange。Volexity警告,如果企業現在還沒有更新到最新版Exchange Server,有極高可能已經被駭。
相較之下,12月因為使用SolarWinds Orion平台軟體而被惡意程式感染的政府及民間企業單位,也才1.8萬家。
由於受害組織包含美國州、市政府及地方政府單位,加上Exchange Server在聯邦政府的普及程度,美國網路安全暨基礎架構安全署(CISA)發佈緊急指令,要求所有聯邦政府單位應檢查所有Exchange伺服器是否有入侵指標(Indications of Compromise)或異常活動,包括有資料被存取、可疑程式等等,確定乾淨後再儘速更新到最新版Exchange。無力檢查者則應立即將Exchange Server從網路下線。
來源:The Verge