什麼?全球還有 8 萬台 Exchange Server 尚未補漏洞!
從 2 個禮拜以前微軟公告有獲中國政府支持的駭客組織 Hafnium 利用零時差漏洞攻擊 Exchange Server 後迄今,仍然有超過 8 萬台 Exchange Server 還沒補漏洞。
3 月 2 日微軟發佈安全公告,公告 Hafnium 利用本地部署的 Exchange Server 4 項可被串聯開採的漏洞發動攻擊,以竊取用戶郵件、執行程式碼,並且留下後門程式 web shell,受影響的版本包括 Exchange Server 2013、2016、2019 及已不再支援的 2010 版。微軟也同時發佈修補程式,呼籲企業用戶儘速更新。
而在此之後幾天內,安全研究人員發現多個駭客組織也相繼加入混戰,對未修補漏洞的 Exchange Server 發動攻擊,有的利用網路上流傳的概念驗證開採程式,有的甚至在微軟還未釋出修補程式前就已出手。已知第一起攻擊發生在 1 月 3 日,比公告還早了 2 個月。
上周微軟陸續再發佈數項修補程式,包括對已不再支援的 Exchange Server 的安全更新以及累積更新 (Cumulative Updates)。但是微軟仍持續奉獻企業應升級到有支援的累積更新,安裝可用的服務更新 (Service Update, SU)。
3 月 1 日,微軟估計全球大約有 40 萬台 Exchange Server 曝險。經過這幾波更新,大概涵蓋超過 95% 的系統。但微軟估計還有比例很小,但數量來說仍然很大的用戶持續仍曝露在被駭風險中。微軟估計,截至 3 月 12 日,全球還有超過 8.2 萬台 Exchange Server 尚未修補漏洞。
上周安全廠商 ESET 報告,他們觀測到,至少有 10 多個駭客也鎖定 Exchange Server 發動攻擊。此外,勒索軟體也開始活動。短短幾天內,針對 Exchange Server 的攻擊行動數量急遽增加。
周日,Check Point 指出,在上周的最後三天內,攻擊活動大增 6 倍,他們發現全球有 4,800 多個開採程式,有數百家企業受害。其中美國受害企業佔了 21%,其次是荷蘭和土耳其 (12%)。以產業來看,政府/軍方佔最大宗 (27%),其次為 (22%) 製造及軟體業 (9%)。
Palo Alto Network 則指出,進入漏洞公開第 2 周,受害組織來到了數萬家。
從時間軸來看,安全研究人員最早在去年 12 月 10 日和 30 日發現其中兩個漏洞(CVE-2021-26855 與 CVE-2021-27065)並通報微軟。研究人員又在 1 月 27 日發現還有第三個漏洞,而且已經被開採。
Palo Alto Networks 指出,這些漏洞不斷被多個組織開採,雖然手法高超的攻擊者使用不同產品新漏洞並非首見,但是它們用來躲過驗證、進而非法存取用戶郵件及執行遠端程式碼攻擊的手法卻格外駭人。
微軟上周公佈偵測及掃除惡意 web shell 的工具 Safety Scanner,Microsoft Defender for Endpoint 也會自動更新。本周微軟又提供 Exchange On-premise Mitigation Tool (EOMT),可協助修補漏洞及事後鑑識分析。EMOT 已整合 Safety Scanner,可自動緩解最危險的驗證迴避漏洞 CVE-2021-26855。但微軟仍強調這些工具只是作為無法及時修補漏洞的企業應急之用,但無法取代 Exchange Server 安全更新。用戶仍應升級到最新版本的 Exchange Server,並且檢查有無可疑的 webshell 檔案()。
來源:SecurityWeek