微软 Exchange Server 电子邮件服务器近期被发现了 4 个重大零时差漏洞,这些漏洞使攻击者可以长期利用 Exchange Server 漏洞进行攻击。对此,资安业者 Palo Alto Networks 估计,世界上仍然有超过 125,000 台未修补漏洞的 Exchange Servers,而在台湾发现约有 950 个 Exchange Server 零时差漏洞威胁,建议企业可遵循四大方法应对其环境中零时差潜在威胁。
首先,找到所有 Exchange Server,确定是否需要修补漏洞。Palo Alto Networks 表示,有漏洞的 Exchange Server 版本包括 2013 年版本、2016 年版本和 2019 年版本。虽然 Exchange 2010 不受Exchange 2013/2016/2019 年相同的攻击链的攻击,Microsoft 仍为此版本的软件发布了 CVE-2021-26857 的修补。微软也建议更新所有的 Exchange Server,并优先考虑对外网络的更新。
其次,修补并保护企业所有的 Exchange Server。如果不能立即更新或修补 Exchange Server,有一些缓解措施和解决方案可能会减少攻击者利用 Exchange Server 的机会,例如 Exchange Server 的入站流量启用了 SSL 解密,已更新为 Threat Prevention Content Pack 8380 或更高版本的 Palo Alto Networks 新世代防火墙(NGFW)可以防止这些漏洞。
第三,确定 Exchange Server 是否已经受到威胁。这些漏洞已经泛滥成灾,并被积极利用了超过一个月,而 Palo Alto Networks Unit 42 威胁报告指出 Exchange Server 攻击的最初行动者使用的战术、技术与程序包括:使用7-Zip将窃取的数据压缩到 ZIP 文件中以进行渗透、添加并使用 Exchange PowerShell 管理单元导出邮件信箱数据、使用 Nishang Invoke-PowerShellTcpOneLine 反向外壳;以及从 GitHub 下载 PowerCat,然后使用它打开与远距服务器的连接。
最后,如果遭受到攻击,请与资安事件应变小组联系。如果 Exchange Server 已受到威胁,则仍应采取措施来保护它免受上述漏洞的侵害,防止其他攻击者进一步破坏系统。同时企业则应制定事件应变计划。
Palo Alto Networks 指出,在全球,预估受到此网络攻击的企业数以万计,更重要的是,在发布漏洞修补之前,攻击者已经充分利用这些漏洞至少两个月的时间。而微软威胁情报中心(MSTIC)将这些攻击以“高可信度”认定为 HAFNUIM 骇客组织,他们评估 HAFNUIM 是由中国资助并在中国以外营运的组织。包括 MSTIC 和 Unit 42 在内的多个威胁情报团队也发现多个网络攻击者现正利用这些零时差漏洞作攻击。针对此一威胁,企业可遵循上述应变方式,做好安全防范。
(首图来源:shutterstock)
