什麼?全球還有8萬台Exchange Server尚未補漏洞!

從2個禮拜以前微軟公告有獲中國政府支持的駭客組織Hafnium利用零時差漏洞攻擊Exchange Server後迄今,仍然有超過8萬台Exchange Server還沒補漏洞。

2個禮拜以前微軟公告有獲中國政府支持的駭客組織Hafnium利用零時差漏洞攻擊Exchange Server後迄今,仍然有超過8萬台Exchange Server還沒補漏洞。

3月2日微軟發佈安全公告,公告Hafnium利用本地部署的Exchange Server 4項可被串聯開採的漏洞發動攻擊,以竊取用戶郵件、執行程式碼,並且留下後門程式web shell,受影響的版本包括Exchange Server 2013、2016、2019及已不再支援的2010版。微軟也同時發佈修補程式,呼籲企業用戶儘速更新。

而在此之後幾天內,安全研究人員發現多個駭客組織也相繼加入混戰,對未修補漏洞的Exchange Server發動攻擊,有的利用網路上流傳的概念驗證開採程式,有的甚至在微軟還未釋出修補程式前就已出手。已知第一起攻擊發生在1月3日,比公告還早了2個月。

上周微軟陸續再發佈數項修補程式,包括對已不再支援的Exchange Server的安全更新以及累積更新(Cumulative Updates)。但是微軟仍持續奉獻企業應升級到有支援的累積更新,安裝可用的服務更新(Service Update, SU)。

3月1日,微軟估計全球大約有40萬台Exchange Server曝險。經過這幾波更新,大概涵蓋超過95%的系統。但微軟估計還有比例很小,但數量來說仍然很大的用戶持續仍曝露在被駭風險中。微軟估計,截至3月12日,全球還有超過8.2萬台Exchange Server尚未修補漏洞。

上周安全廠商ESET報告,他們觀測到,至少有10多個駭客也鎖定Exchange Server發動攻擊。此外,勒索軟體也開始活動。短短幾天內,針對Exchange Server的攻擊行動數量急遽增加。

周日,Check Point指出,在上周的最後三天內,攻擊活動大增6倍,他們發現全球有4,800多個開採程式,有數百家企業受害。其中美國受害企業佔了21%,其次是荷蘭和土耳其(12%)。以產業來看,政府/軍方佔最大宗(27%),其次為(22%)製造及軟體業(9%)。

Palo Alto Network則指出,進入漏洞公開第2周,受害組織來到了數萬家。

從時間軸來看,安全研究人員最早在去年12月10日和30日發現其中兩個漏洞(CVE-2021-26855與CVE-2021-27065)並通報微軟。研究人員又在1月27日發現還有第三個漏洞,而且已經被開採。

Palo Alto Networks指出,這些漏洞不斷被多個組織開採,雖然手法高超的攻擊者使用不同產品新漏洞並非首見,但是它們用來躲過驗證、進而非法存取用戶郵件及執行遠端程式碼攻擊的手法卻格外駭人。

微軟上周公佈偵測及掃除惡意web shell的工具Safety Scanner,Microsoft Defender for Endpoint也會自動更新。本周微軟又提供Exchange On-premise Mitigation Tool (EOMT),可協助修補漏洞及事後鑑識分析。EMOT已整合Safety Scanner,可自動緩解最危險的驗證迴避漏洞CVE-2021-26855。但微軟仍強調這些工具只是作為無法及時修補漏洞的企業應急之用,但無法取代Exchange Server安全更新。用戶仍應升級到最新版本的Exchange Server,並且檢查有無可疑的webshell檔案()。

來源:SecurityWeek

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416