吳明宜還沒修 Exchange Server 漏洞?更多駭客組織加入攻擊行列
如果貴公司是 Exchange Server 用戶,而且還未補漏洞,那請留意:因為有更多駭客組織和惡意程式已經加入攻擊的行列。
微軟在 3 月 2 日釋出 Exchange Server 2013、2016、2019 及 2010 更新版,呼籲用戶儘速安裝,以免遭網路罪犯與國家支持的駭客未來幾周或幾個月開採 4 個漏洞駭入系統。
第一個發動攻擊的是中國政府支持的駭客組織 Hafnium。但本周安全廠商 ESET 指出,至少又有 10 個國家支持的駭客開採 Exchange Server 漏洞的攻擊行動,包括 Tick Butler/Bronze Butler、LuchyMouse、Calypso、Websiic、Winnti Group、Tonto Team、ShadowPad、Opera Cobalt Strike、IIS 後門、Mikroceen、DLTMiner 等。
而且連犯罪組織也來湊一腳。微軟證實有名為 DearCry 的勒索軟體正在網路上散佈。不過它並非自動散佈的蠕蟲程式,而是由一個駭客組織針對 Exchange Server 未修補的漏洞發動人工開採,駭入 Exchange Server 後安裝。
微軟的 Defender Antivirus 會將 DearCry 偵測為 Ransom:Win32/DoejoDrypt.A。
微軟指出,企業補好 Exchange Server 漏洞就不必太操心,Microsoft Defender Antivirus 會自動更新病毒定義檔。
由於 Exchange Server 用戶實在太多,安全廠商推測從 3 月 2 日起 3 天內,就有至少 3 萬家企業及政府、非營利組織被駭。上周安全廠商估計至少有 4.6 萬台 Exchange Server 還未修補漏洞。
微軟除了上周釋出 Exchange Server 修補程式外,也針對 Hafnium 在 Exchange Server 植入後門程式 web shell 的行為特徵,於本周釋出偵測工具 Microsoft Safety Scanner (MSERT) ,供企業自我檢查及清除。