Exchange Server漏洞餘波不斷,美國網路安全暨基礎架構安全管理署(CISA)繼月初後,再度發出補充指令,要求美國聯邦政府部門清查Exchange Server有無惡意程式及攻擊活動。

CISA指出,合作夥伴廠商已觀測到Microsoft Exchange本地部署產品出現開採活動。根據現有攻擊、漏洞開採可能性、聯邦政府軟體使用的普及性、聯邦政府資訊系統被入侵的可能性,以及入侵造成的影響,CISA判斷這對聯邦政府構成不可接受的風險,需要緊急行動。

繼3月7日對此發出的首次指令後,CISA第二次緊急指令要求運行中或委外代管Exchange Server的單位,應立即用微軟開發的工具檢查Exchange Server。包括在4月5日中午12:00以前下載並執行Microsoft Safety Scanner (MSERT)全系統掃瞄,這用於辨識及清除惡意webshell。此外,也應在同一天同一時間之前下載並完成執行Test-ProxyLogon.ps1 script程式(如下圖),分析Exchange 及IIS log,這專門用於辨識針對CVE-2021-26855、26857、26858 及27065的攻擊活動。

 

 

CISA要求各部會,不論有無發現入侵或異常,皆應在4月5日中午12:00以前回報執行結果。

同時CISA也要求各部會進行安全強化,包括Exchange Server、作業系統、韌體等升級到最新版本,安裝防護軟體、啟用防火牆與log紀錄,並確實檢查帳號、角色及群組的權限。CISA要求,各部會應在6月28日中午12:00以前,通報所有安全強化的進度,包括無法完成強化的情形。

雖然微軟指出全球本地部署的Exchange Server中,92%已經修補完成,且迄今也沒有美國聯邦政府被駭入的消息。不過微軟仍然提醒修補完漏洞也不能掉以輕心,因為可能還有勒索軟體、被植入惡意webshell及利用Exchange Server竊取到的資訊入侵其他系統等威脅。

另外,聯邦政府也可能無力清查。例如美聯社引述消息人士報導,在去年的SolarWinds供應鏈攻擊中,美國航空管理署(FAA)因為技術太老舊,花上好幾周才搞清楚有幾臺系統跑SolarWinds,更別說察覺被駭。

熱門新聞

Advertisement