什麼？全球還有8萬台Exchange Server尚未補漏洞！

從2個禮拜以前微軟公告有獲中國政府支持的駭客組織Hafnium利用零時差漏洞攻擊Exchange Server後迄今，仍然有超過8萬台Exchange Server還沒補漏洞。

3月2日微軟發佈安全公告，公告Hafnium利用本地部署的Exchange Server 4項可被串聯開採的漏洞發動攻擊，以竊取用戶郵件、執行程式碼，並且留下後門程式web shell，受影響的版本包括Exchange Server 2013、2016、2019及已不再支援的2010版。微軟也同時發佈修補程式，呼籲企業用戶儘速更新。

而在此之後幾天內，安全研究人員發現多個駭客組織也相繼加入混戰，對未修補漏洞的Exchange Server發動攻擊，有的利用網路上流傳的概念驗證開採程式，有的甚至在微軟還未釋出修補程式前就已出手。已知第一起攻擊發生在1月3日，比公告還早了2個月。

上周微軟陸續再發佈數項修補程式，包括對已不再支援的Exchange Server的安全更新以及累積更新(Cumulative Updates)。但是微軟仍持續奉獻企業應升級到有支援的累積更新，安裝可用的服務更新(Service Update, SU)。

3月1日，微軟估計全球大約有40萬台Exchange Server曝險。經過這幾波更新，大概涵蓋超過95%的系統。但微軟估計還有比例很小，但數量來說仍然很大的用戶持續仍曝露在被駭風險中。微軟估計，截至3月12日，全球還有超過8.2萬台Exchange Server尚未修補漏洞。

上周安全廠商ESET報告，他們觀測到，至少有10多個駭客也鎖定Exchange Server發動攻擊。此外，勒索軟體也開始活動。短短幾天內，針對Exchange Server的攻擊行動數量急遽增加。

周日，Check Point指出，在上周的最後三天內，攻擊活動大增6倍，他們發現全球有4,800多個開採程式，有數百家企業受害。其中美國受害企業佔了21%，其次是荷蘭和土耳其(12%)。以產業來看，政府／軍方佔最大宗(27%)，其次為(22%)製造及軟體業(9%)。

Palo Alto Network則指出，進入漏洞公開第2周，受害組織來到了數萬家。

從時間軸來看，安全研究人員最早在去年12月10日和30日發現其中兩個漏洞（CVE-2021-26855與CVE-2021-27065）並通報微軟。研究人員又在1月27日發現還有第三個漏洞，而且已經被開採。

Palo Alto Networks指出，這些漏洞不斷被多個組織開採，雖然手法高超的攻擊者使用不同產品新漏洞並非首見，但是它們用來躲過驗證、進而非法存取用戶郵件及執行遠端程式碼攻擊的手法卻格外駭人。

微軟上周公佈偵測及掃除惡意web shell的工具Safety Scanner，Microsoft Defender for Endpoint也會自動更新。本周微軟又提供Exchange On-premise Mitigation Tool (EOMT)，可協助修補漏洞及事後鑑識分析。EMOT已整合Safety Scanner，可自動緩解最危險的驗證迴避漏洞CVE-2021-26855。但微軟仍強調這些工具只是作為無法及時修補漏洞的企業應急之用，但無法取代Exchange Server安全更新。用戶仍應升級到最新版本的Exchange Server，並且檢查有無可疑的webshell檔案（）。

來源：SecurityWeek