微軟：修補完Exchange Server漏洞還不能掉以輕心

雖然絕大多數本地部署的Exchange Server都已經修補好ProxyLogon漏洞，但微軟警告，這不表示事情就做完了，因為許多一開始被駭而不自知的企業，有許多未爆彈得解決，如駭客滲透進企業網路，或是以偷來的帳密駭入其他系統。

三月初微軟公佈安全公告，警告駭客組織Hafnium正在開採本地部署Exchange Server上的四個合稱為ProxyLogon的零時差漏洞，同時針對Exchange Server 2013、2016和2019釋出第一波安全更新。之後就是一連串安全研究，揭露針對這組漏洞的威脅，包括勒索軟體、挖礦軟體，以及人為開採等。安全廠商ESET也指出至少有其他10組駭客組織早已動手。

另一方面，微軟也不斷做出各種補救措施，包括涵蓋面更廣的第二波Exchange Server更新，以及一鍵式工具EOMT（Exchange On-premise Migration Tool）和更新Microsoft Defender Antivirus特徵檔，而緩解四項漏洞中的CVE-2021-26855。微軟上周宣布，經過一番努力，全球92%的Exchange Server已經修補漏洞或獲得緩解。

但是根據微軟針對本地部署的Exchange Server做的調查，企業仍面臨不少威脅。例如許多一開始被駭的企業還沒被攻擊，像是以人為操作的勒索軟體攻擊或資料外洩，這表示攻擊者可能計畫即將展開下一波行動，他們可能採取滲透手法伺機而動，或利用偷來的帳密從其他管道駭入企業網路。

微軟列舉的可能威脅包括Web Shell、人為植入勒索軟體，以及竊取登入憑證資料。微軟觀察到許多未修補的Exchange Server上被建立web shell程式，這種程式可能被駭客當成後門，以便用來竊取郵件、或執行程式碼。在勒索軟體方面，安全廠商至少發現有二隻勒索軟體如DearCry、Black Kingdom（微軟稱為DoejoCrypt及Pydomer）已被駭客透過開採Exchange漏洞，以植入企業網路環境。

其他已知的威脅，還包括散佈挖礦軟體的殭屍網路Lemon Duck（黃色小鴨）。

第三項風險是竊取登入憑證。雖然目前登入資料不是駭客首要目標，但是存取Exchange系統能讓他們取得重要憑證，用於日後其他攻擊。例如他們可能藉此取得網域管理員帳號，或是具備援權限的服務帳號。這樣一來，攻擊者就能Exchange事件之後許久，在網路環境下發動勒索軟體或竊密行動。

為防止可能的後續攻擊，微軟建議企業應立即檢視Exchange Server是否有駭入跡象、web shell，並檢查用戶及用戶群組是否有可疑新增帳號，呼籲變更所有用戶帳號和本地管理員帳號密碼，而 Event ID 1102則意味駭客刪除事件log。另外也要留心滲透手法，如RDP、防火牆、WMI訂閱及WinRM組態可疑變更、新增的服務、排程或啟動物件，或是非微軟的RDP及遠端存取，以及不明的Exchange郵件轉寄政策變更等。