吳明宜安全研究機構 The Shadowserver Foundation 警告,最新微軟 Exchange Server 零時差漏洞導致 9.7 萬台伺服器直接或可能曝險,呼籲管理員應儘速更新軟體。
非營利安全研究組織 Shadowserver 指出,經過掃瞄,2.8 萬台連網的 Exchange Server 受到 CVE-2024-21410 (CVSS score 9.8) 漏洞影響,另有 6.8 萬台伺服器是「可能受影響」,後者是有這漏洞,雖未安裝更新版軟體,但已採取行動緩解風險。
CVE-2024-21410 為一權限升級漏洞,可能導致 pass-the-hash 攻擊,即駭客轉送使用者的 Exchange Server Net-NTLMv2 雜湊憑證,冒充用戶身份存取目標伺服器,造成遠端程式碼執行或資訊外洩。微軟指出,這項漏洞出於 Exchange Server 2019 並未預設 NTLM 憑證轉送的防護(或是 Extended Protection for Authentication, EPA)。
微軟於本周 13 日已公佈安全更新,修補 72 項漏洞,包括這裏所指的 Exchange Server 漏洞。微軟呼籲用戶更新到 Exchange Server 2019 累積更新 14 (CU14) 。隔天微軟又將本漏洞標示為已遭濫用。美國網路安全主管機關 CISA 已將之列入「已知被濫用漏洞目錄」。
不過攻擊是何人所為,以及如何發動攻擊,目前皆不得而知。
Shadowserver 相信,Exchange Server 15.2.1118.12 以前版本受漏洞影響,而 15.2.1118.12 、 15.2.986.29 、 15.1.2507.31 及 15.2.1258.x 及以後版本則因已有緩解措施因而為「可能受影響」。
根據其掃瞄到的曝險 IP 位址判斷,最多伺服器座落於德國 (25,000),其次是美國 (22,000) 和英國 (4,000) 台。
不過 Shadowserver 警告,掃瞄結果無法反映實際執行個體,因為這些僅計算不重覆 IP,但這些 IP 可能被重覆計算。此外,這些數字也無法分辨真實執行個體及誘捕系統 (honeypot),往往誘捕系統才是曝露在網際網路的主要執行個體。
但不論實際曝險的 Exchange Server 有幾台,安全專家都呼籲管理員應儘速行動,包括安裝修補程式。 Sevco Security 資安長 Brian Contons 指出,精準而時常更新的伺服器盤點是企業資安的基礎;若沒有徹底盤點,再用心的安全團隊也無法完整掌握並修補可能曝險的機器。
來源:SecurityWeek