針對微軟Exchange Server爆發的零時差漏洞,美國網路安全暨基礎架構安全署(CISA)發出第2號緊急指令,要求聯邦政府立即清查是否有入侵指標並更新至微軟上周釋出的修補版本,或立即將Exchange Server從聯邦政府網域下線。

資安部落格KrebsonSecurity報導,上周爆發的Exchange Server攻擊行動已在美國導致大量受害者,至少3萬個組織,包括州政府及公家機關發現駭入證據。

上周微軟發出安全公告,指出一個由中國政府支持的駭客組織Hafnium,正在利用Exchange Server的4項零時差漏洞(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858及CVE-2021-27065)駭入本地部署郵件系統的組織,目的在竊取私密郵件。同時也針對受影響的Exchange Server 2013、2016和2019版釋出了更新版本。

通報微軟的安全公司Volecity分析,Hafnium一旦成功駭入Exchange環境就會植入web shell程式,這種網頁程式有如後門,讓駭客得以長期從遠端控制受害組織的Exchange Server,包括竊取資訊、執行任意程式碼、或在內部網路橫向移動。

KrebsonSecurity報導,消息公布後網路上針對未修補的Exchange Server攻擊行動於數日之間驟增,兩名擔任美方國安顧問的資安專家指出,美國境內至少有30,000臺Exchange伺服器被駭,而全球也有「數十萬臺」遭到感染,每一臺伺服器大約代表一家組織。

一名研究人員透露,美國境內受害單位涵括州、市政府、信用合作社、警察局、電信公司、銀行、消防單位及非營利機構。所有受害者都是Exchange Server搭配外部存取的Outlook Web Access(OWA),而且過去幾天都未能更新Exchange。

報導引述Velocity總裁Steve Adair指出, 該公司是在1月6日首先發現攻擊行動。Adair指出,即使企業在3月4日微軟公布安全公告當天修補漏洞,Exchange Server上可能已經有web shell,而如果企業今天還沒有更新,有極高機會它的Exchange Server已經被駭。

這不是第一個懷疑這次攻擊超過微軟「有限目標式攻擊」說法的廠商。上周安全廠商Huntress分析檢查超過2000臺Exchange伺服器中,有近400臺存在公布的零時差漏洞,另有將近100臺可能有漏洞。此外,Huntress也指出,代管服務供應商的Exchange Server發現web shell程式者200臺。

Huntress並未公布受害者所在地區,但指出遍及市、郡政府、健康照護機構、金融、銀行,以及電力公司等,以及中小型企業如小型飯店、冰淇淋廠商、廚具製造商、好幾家長照社區等。

安全廠商都指出,以Exchange及設立OWA的用戶普及程度來看,受害情形恐怕相當嚴重。Huntress也懷疑現有端點安全軟體都無法防止web shell的植入。

美國網路安全暨基礎架構安全署(CISA)根據漏洞風險層級、已實際發生漏洞開採及美國政府單位使用Exchange Server的普及程度,上周五發出第2號緊急指令。CISA要求聯邦政府單位立即清查本地部署的Exchange Server環境,檢視是否有入侵指標(Indicators of Compromise,IoC)或異常情形,包括登入憑證外洩、橫向移動、滲透機制或其他後續活動,並更新Exchange Server。沒能力或沒人力檢查者,則應立即將Exchange Server從聯邦政府網域下線。

熱門新聞

Advertisement