微軟是在安全廠商Volexity及Dubex通報下,得知Exchange Server含有零時差漏洞並被Hafnium組織開採。上圖是Volexity針對Exchange Server漏洞發表的攻擊展示影片。(圖片來源/Volexity)

微軟本周指出,一個名為Hafnium的中國駭客組織近日積極活動,透過4項零時差漏洞對本地部署的Exchange Server發動攻擊。微軟也於昨日修補了這4項漏洞。

微軟指出,Hafnium為一國家支持的駭客組織,具有高超的攻擊技能和手法,過去該組織常鎖定美國企業或組織以竊取資訊,受害產業甚廣,包括感染病研究單位、法律事務所、高等教育機構、國防外包商、政策智庫和非政府單位(NGO)等。雖然Hafnium基地在中國,但是它主要利用在美國租用的虛擬私人伺服器(virtual private server)發動攻擊。

微軟分析Hafnium最近針對Exchange Server的行動,攻擊行動主要分成三步驟。首先,它利用竊來的密碼或開採Exchanger Server漏洞,冒充合法使用者存取系統。其次它會建立web shell後門程式以遠端控制受駭的Exchange Server。最後,Hafnium會利用美國租用的VPS從受害者網路上竊取資料。它竊取的資料一般則傳到檔案分享網站如MEGA等。

而在這次攻擊中,4項Exchange Server零時差漏洞,包括CVE-2021-26855、CVE-2021-26857、CVE-2021-26858及CVE-2021-27065遭到Hafnium串聯攻擊而得逞。其中CVE-2021-26855為伺服器請求偽造(SSRF)漏洞,允許攻擊者傳送HTTP呼叫而驗證進入Exchange Server。CVE-2021-26857為Unified Messaging服務的反序列化漏洞,讓攻擊者得以在Exchange Server上以系統權限執行程式碼。CVE-2021-26858和CVE-2021-27065則為任意檔案寫入漏洞,可在驗證進入後在Exchange寫入及程式。

一開始,攻擊者會從外部經由傳輸埠443連線Exchange Server,雖然設立VPN存取Exchange Server可以防範,但如果攻擊者已取得用戶帳密,或誘使管理員執行惡意檔案,駭客就能長驅直入,並啟動一系列觸發漏洞的行動。

微軟是在安全廠商Volexity及Dubex通報而得知Hafnium的攻擊行動。

受影響的產品包括Exchange Server 2013、2016和2019。Exchange Server 2010不受影響,但基於安全考量微軟也提供更新。Exchange Online則不受影響。

微軟昨日也釋出了安全公告,修補這4項已被開採的漏洞,以及另外三項和Hafnium攻擊不相關的漏洞,包括CVE-2021-26412、CVE-2021-26854及CVE-2021-27078。微軟也呼籲用戶儘速安裝修補程式。

熱門新聞

Advertisement