近期轰动资安领域的微软邮件服务器软件 Exchange 漏洞,让高达四十万台使用微软Exchange Server 的邮件服务器暴露在中国骇客的攻击之下。一开始这个漏洞的发现归功于台湾知名的漏洞防护公司 DEVCORE。
DEVCORE 在 2020 十二月十日左右发现微软的 Exchange Server 漏洞,并且在内部验证了骇客能借此入侵的 Proof of Concept #ProxyLogon 攻击模式。在 1 月 5 日通知微软此一系统漏洞存在。
微软在验证后也依此基础做出了能防范漏洞的更新。
然而就在三月微软即将推出安全更新之前,也将测试版提供给微软在全球各地的安全软件合作伙伴,其中包含十几家中国公司。在此之后,对于 Exchange server 的攻击更加升温。 资安人士推测也有可能是中国方骇客得知安全更新即将推出,因而把握时间加强攻击行动。
在 3 月 12 日一位资安研究人员 Nguyen Jang,将能运用来进行攻击的 Proof of Concept 程式码,公开在 Github 上,虽然之后被拥有 Github 的微软公司将其移除。不过攻击工具已因此而扩大被采用的范围,让情况更加恶化。
在微软忙着推出能解决安全漏洞的软件更新之时,却又有阴谋论传出,DEVCORE 先前为了测试此一漏洞真实性而开发的 PoC 程式工具已外泄,让骇客在 1 月 3 日就开始用此漏洞攻击 Exchange Server ,尽管 DEVCORE 否认此事,反让抓到漏洞回报的 DEVCORE 一度成为嫌疑犯的无妄之灾。
不过根据 DomainTools 整理的 Exchange Server 漏洞事件时间表,知名的骇客团体 HAFNIUM 可能远在 11 月初就开始用此漏洞攻击。因此 DEVCORE 外泄之说,在逻辑上并不合理。
(图片来源:DomainTools)
关于 DEVCORE 为台湾知名网络安全公司,多次协助全球找出网络上的漏洞,并合作修复。该公司顾问 Orange Tsai 为全球最高等级网络安全技术人员,多次获得全球比赛肯定。
延伸阅读:
- 微软紧急修补 Exchange Server 漏洞,背后功臣是来自台湾资安团队
