Photo by Nemanja Jeremic on unsplash

本周稍早微軟公布中國支持的駭客組織Hafnium對少數特定的Exchange Server客戶發動攻擊。安全廠商相信,實際情況可能更嚴重,至少有數百臺Exchange系統內發現惡意程式。

微軟指出,中國政府支持的Hafnium技能高強且手法複雜,它在美國地區的攻擊是利用租賃的虛擬私人伺服器(virtual private server)為據點,串聯利用Exchange Server 4項零時差漏洞(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858及CVE-2021-27065)駭入受害者系統,並植入web shell作為長期控制系統的後門,且已經不是第一次發動攻擊。Hafnium這波「有限精準」的攻擊主要對象為感染病研究單位、高等教育機構、國防外包商、政策智庫和非政府單位(NGO)等組織。

但是安全廠商Huntress分析實際的Exchange系統中,發現攻擊目標不限於這些單位。Huntress檢查的超過2000臺Exchange伺服器中,有近400臺存在公布的零時差漏洞,另有將近100臺可能有漏洞。此外,在該公司代管服務夥伴中,有200臺伺服器已經在其資料夾(C:\inetpub\wwwroot\aspnet_client\system_web)中發現web shell程式。

Huntress指出,這些Exchange Server用戶和微軟描述的受害單位並不一致。雖然受害單位包括許多市、郡政府、健康照護機構、金融、銀行,以及電力公司等,但另一些則是小型飯店、冰淇淋廠商、廚具製造商、好幾家長照社區等並沒有這麼「高上大」的中型企業。

而在400臺有漏洞的伺服器中,Huntress研究人員也發現了超過350個web shell,有的機器還不只1個web shell,可能是自動化部署,或是攻擊者之間未協調好的結果。

值得注意的是,這些端點都安裝有防毒或端點偵測回應(endpoint detection and response, EDR)產品,但是這些web shell似乎有方法迴避大部份安全產品偵測。此外,根據安全廠商界的誘捕系統(honeypot)也遭到攻擊來看,顯示攻擊者是在掃瞄網路,尋找最容易下手的目標。

Huntress指出,這波攻擊嚴重性不容小覷,因為郵件系統是所有企業及組織不可或缺的,而微軟Exchange又是其中最廣為使用的。這些伺服器一般可從外部網際網路存取,因此也有被遠端攻擊的風險。攻擊者成功存取並控制Exchange Server後,就能以此為據點在受害者網路上橫向移動,擴大損害。

受影響的Exchange Server版本包括2013、2016及2019。微軟本周已對用戶釋出Exchange更新版本修補漏洞。但Huntress提醒代管業者,除了立刻更新Exchange伺服器外,也應儘速尋找系統內是否有web shell和其他入侵指標。研究人員認為似乎所有防禦性的產品,都無法成功防堵web shell下載。


報名台灣唯一超規格資安盛會

熱門新聞


Advertisement