什麼？全球還有 8 萬台 Exchange Server 尚未補漏洞！

從 2 個禮拜以前微軟公告有獲中國政府支持的駭客組織 Hafnium 利用零時差漏洞攻擊 Exchange Server 後迄今，仍然有超過 8 萬台 Exchange Server 還沒補漏洞。

3 月 2 日微軟發佈安全公告，公告 Hafnium 利用本地部署的 Exchange Server 4 項可被串聯開採的漏洞發動攻擊，以竊取用戶郵件、執行程式碼，並且留下後門程式 web shell，受影響的版本包括 Exchange Server 2013、2016、2019 及已不再支援的 2010 版。微軟也同時發佈修補程式，呼籲企業用戶儘速更新。

而在此之後幾天內，安全研究人員發現多個駭客組織也相繼加入混戰，對未修補漏洞的 Exchange Server 發動攻擊，有的利用網路上流傳的概念驗證開採程式，有的甚至在微軟還未釋出修補程式前就已出手。已知第一起攻擊發生在 1 月 3 日，比公告還早了 2 個月。

上周微軟陸續再發佈數項修補程式，包括對已不再支援的 Exchange Server 的安全更新以及累積更新 (Cumulative Updates)。但是微軟仍持續奉獻企業應升級到有支援的累積更新，安裝可用的服務更新 (Service Update, SU)。

3 月 1 日，微軟估計全球大約有 40 萬台 Exchange Server 曝險。經過這幾波更新，大概涵蓋超過 95% 的系統。但微軟估計還有比例很小，但數量來說仍然很大的用戶持續仍曝露在被駭風險中。微軟估計，截至 3 月 12 日，全球還有超過 8.2 萬台 Exchange Server 尚未修補漏洞。

上周安全廠商 ESET 報告，他們觀測到，至少有 10 多個駭客也鎖定 Exchange Server 發動攻擊。此外，勒索軟體也開始活動。短短幾天內，針對 Exchange Server 的攻擊行動數量急遽增加。

周日，Check Point 指出，在上周的最後三天內，攻擊活動大增 6 倍，他們發現全球有 4,800 多個開採程式，有數百家企業受害。其中美國受害企業佔了 21%，其次是荷蘭和土耳其 (12%)。以產業來看，政府／軍方佔最大宗 (27%)，其次為 (22%) 製造及軟體業 (9%)。

Palo Alto Network 則指出，進入漏洞公開第 2 周，受害組織來到了數萬家。

從時間軸來看，安全研究人員最早在去年 12 月 10 日和 30 日發現其中兩個漏洞（CVE-2021-26855 與 CVE-2021-27065）並通報微軟。研究人員又在 1 月 27 日發現還有第三個漏洞，而且已經被開採。

Palo Alto Networks 指出，這些漏洞不斷被多個組織開採，雖然手法高超的攻擊者使用不同產品新漏洞並非首見，但是它們用來躲過驗證、進而非法存取用戶郵件及執行遠端程式碼攻擊的手法卻格外駭人。

微軟上周公佈偵測及掃除惡意 web shell 的工具 Safety Scanner，Microsoft Defender for Endpoint 也會自動更新。本周微軟又提供 Exchange On-premise Mitigation Tool (EOMT)，可協助修補漏洞及事後鑑識分析。EMOT 已整合 Safety Scanner，可自動緩解最危險的驗證迴避漏洞 CVE-2021-26855。但微軟仍強調這些工具只是作為無法及時修補漏洞的企業應急之用，但無法取代 Exchange Server 安全更新。用戶仍應升級到最新版本的 Exchange Server，並且檢查有無可疑的 webshell 檔案（）。

來源：SecurityWeek