還沒修Exchange Server漏洞?更多駭客組織加入攻擊行列
如果貴公司是Exchange Server用戶,而且還未補漏洞,那請留意:因為有更多駭客組織和惡意程式已經加入攻擊的行列。
微軟在3月2日釋出Exchange Server 2013、2016、2019及2010更新版,呼籲用戶儘速安裝,以免遭網路罪犯與國家支持的駭客未來幾周或幾個月開採4個漏洞駭入系統。
第一個發動攻擊的是中國政府支持的駭客組織Hafnium。但本周安全廠商ESET指出,至少又有10個國家支持的駭客開採Exchange Server漏洞的攻擊行動,包括Tick Butler/Bronze Butler、LuchyMouse、Calypso、Websiic、Winnti Group、Tonto Team、ShadowPad、Opera Cobalt Strike、IIS後門、Mikroceen、DLTMiner等。
而且連犯罪組織也來湊一腳。微軟證實有名為DearCry的勒索軟體正在網路上散佈。不過它並非自動散佈的蠕蟲程式,而是由一個駭客組織針對Exchange Server未修補的漏洞發動人工開採,駭入Exchange Server後安裝。
微軟的Defender Antivirus會將DearCry偵測為Ransom:Win32/DoejoDrypt.A。
微軟指出,企業補好Exchange Server漏洞就不必太操心,Microsoft Defender Antivirus會自動更新病毒定義檔。
由於Exchange Server用戶實在太多,安全廠商推測從3月2日起3天內,就有至少3萬家企業及政府、非營利組織被駭。上周安全廠商估計至少有4.6萬台Exchange Server還未修補漏洞。
微軟除了上周釋出Exchange Server修補程式外,也針對Hafnium在Exchange Server植入後門程式web shell的行為特徵,於本周釋出偵測工具Microsoft Safety Scanner (MSERT) ,供企業自我檢查及清除。