微软Exchange Server电子邮件伺服器近期被发现了四个重大零时差漏洞(CVE-2021-26855、CVE-2021-26857、 CVE-2021-26858 及 CVE-2021-27065)。因为这些漏洞,攻击者可以长期利用Exchange Server漏洞进行攻击。
微软威胁情报中心(MSTIC)将这些攻击以「高可信度」认定为HAFNUIM骇客组织,他们评估HAFNUIM是由中国资助并在中国以外营运的组织。包括MSTIC和Unit 42在内的多个威胁情报团队也发现多个网路攻击者现正利用这些零时差漏洞作攻击。
预估全球受此网路攻击的企业数以万计,更重要的是,在发布漏洞修补之前,攻击者已充分利用这些漏洞至少两个月的时间。根据从Palo Alto Networks Expanse平台收集的遥测数据,估计世界上仍然有超过125,000台未修补漏洞的Exchange Servers,Palo Alto Networks日前也公布目前侦测到在台湾约有950个Exchange Server零时差漏洞威胁。
Palo Alto Networks建议企业遵循四种方法,来应对环境中零时差潜在威胁。
找到所有Exchange Server 确定是否需要修补漏洞
有漏洞的Exchange Server版本包括2013年版本、2016年版本和2019年版本。虽然Exchange 2010不受Exchange 2013/2016/2019年相同的攻击链的攻击,Microsoft仍为此版本的软件发布了CVE-2021-26857的修补。Microsoft最近发布了针对较旧也不受支援的Exchange版本的额外指南。
微软也建议更新所有的Exchange Server,并优先考虑对外网路的更新。即使企业发现Exchange Server不是用来对外网路为主的路径,如果透过其他外部网路,攻击者仍然可以利用这些漏洞。
修补并保护企业所有的Exchange Server
如果不能立即更新或修补Exchange Server,有一些缓解措施和解决方案可能会减少攻击者利用Exchange Server的机会,这些缓解措施应该只是暂时的,直到漏洞被修补完成。如果Exchange Server的入站流量启用了SSL解密,已更新为Threat Prevention Content Pack 8380或更高版本的Palo Alto Networks新世代防火墙(NGFW)可以防止这些漏洞。在Exchange Server上运行的Cortex XDR将检测并阻止这些攻击中常用的webshell活动。
初始攻击需要具有与Exchange Server网路埠443的不受信任的连接能力。可以透过限制不受信任的使用者对系统的连接来防止这种情况的发生。或仅允许VPN进行身份验证的使用者连接系统或透过使用防火墙将连接限制设为对特定主机或IP范围的连接来进行。使用此措施仅能防御攻击的初始部分。如果攻击者已经可以连接网路或者可以说服管理员打开恶意文件,则仍然可以触发攻击链的其他部分。
有关使用Palo Alto Networks产品的更多讯息,包括订阅安全防火墙,用於自动化的Cortex XSOAR和用於端点保护的Cortex XDR,可以在我们的威胁评估页面中找到。
确定Exchange Server是否已受到威胁
这些漏洞已经泛滥成灾,并被积极利用了超过一个月,最早的迹象显示这个漏洞可以追溯到1月3日。任何使用这些容易受骇客攻击的组织都必须评估其伺服器是否受到威胁。修补系统并不会删除已部署在系统上的任何恶意软体。
Palo Alto Networks Unit 42威胁报告指出Exchange Server攻击的最初行动者使用的战术、技术与程序(tactics, techniques and procedures;TTP)。
.使用7-Zip将窃取的数据压缩到ZIP文件中以进行渗透。
.添加并使用Exchange PowerShell管理单元导出邮件信箱数据。
.使用Nishang Invoke-PowerShellTcpOneLine反向外壳。
.从GitHub下载PowerCat,然後使用它打开与远程服务器的连接。
如果受到攻击 请与资安事件应变小组联系
如果Exchange Server已受到威胁,则仍应采取措施来保护它免受上述漏洞的侵害,防止其他攻击者进一步破坏系统。Exchange Server版本安装额外的安全更新非常重要,但是这不会删除系统上已经安装的任何恶意程式,也不会驱逐网络中存在的任何威胁。如果已受到攻击,企业则应制定事件应变计画。