微軟Exchange Server電子郵件伺服器近期被發現了四個重大零時差漏洞(CVE-2021-26855、CVE-2021-26857、 CVE-2021-26858 及 CVE-2021-27065)。因為這些漏洞,攻擊者可以長期利用Exchange Server漏洞進行攻擊。
微軟威脅情報中心(MSTIC)將這些攻擊以「高可信度」認定為HAFNUIM駭客組織,他們評估HAFNUIM是由中國資助並在中國以外營運的組織。包括MSTIC和Unit 42在內的多個威脅情報團隊也發現多個網路攻擊者現正利用這些零時差漏洞作攻擊。
預估全球受此網路攻擊的企業數以萬計,更重要的是,在發佈漏洞修補之前,攻擊者已充分利用這些漏洞至少兩個月的時間。根據從Palo Alto Networks Expanse平台收集的遙測數據,估計世界上仍然有超過125,000台未修補漏洞的Exchange Servers,Palo Alto Networks日前也公佈目前偵測到在台灣約有950個Exchange Server零時差漏洞威脅。
Palo Alto Networks建議企業遵循四種方法,來應對環境中零時差潛在威脅。
找到所有Exchange Server 確定是否需要修補漏洞
有漏洞的Exchange Server版本包括2013年版本、2016年版本和2019年版本。雖然Exchange 2010不受Exchange 2013/2016/2019年相同的攻擊鏈的攻擊,Microsoft仍為此版本的軟件發佈了CVE-2021-26857的修補。Microsoft最近發佈了針對較舊也不受支援的Exchange版本的額外指南。
微軟也建議更新所有的Exchange Server,並優先考慮對外網路的更新。即使企業發現Exchange Server不是用來對外網路為主的路徑,如果透過其他外部網路,攻擊者仍然可以利用這些漏洞。
修補並保護企業所有的Exchange Server
如果不能立即更新或修補Exchange Server,有一些緩解措施和解決方案可能會減少攻擊者利用Exchange Server的機會,這些緩解措施應該只是暫時的,直到漏洞被修補完成。如果Exchange Server的入站流量啟用了SSL解密,已更新為Threat Prevention Content Pack 8380或更高版本的Palo Alto Networks新世代防火牆(NGFW)可以防止這些漏洞。在Exchange Server上運行的Cortex XDR將檢測並阻止這些攻擊中常用的webshell活動。
初始攻擊需要具有與Exchange Server網路埠443的不受信任的連接能力。可以透過限制不受信任的使用者對系統的連接來防止這種情況的發生。或僅允許VPN進行身份驗證的使用者連接系統或透過使用防火牆將連接限制設為對特定主機或IP範圍的連接來進行。使用此措施僅能防禦攻擊的初始部分。如果攻擊者已經可以連接網路或者可以說服管理員打開惡意文件,則仍然可以觸發攻擊鏈的其他部分。
有關使用Palo Alto Networks產品的更多訊息,包括訂閱安全防火牆,用於自動化的Cortex XSOAR和用於端點保護的Cortex XDR,可以在我們的威脅評估頁面中找到。
確定Exchange Server是否已受到威脅
這些漏洞已經氾濫成災,並被積極利用了超過一個月,最早的跡象顯示這個漏洞可以追溯到1月3日。任何使用這些容易受駭客攻擊的組織都必須評估其伺服器是否受到威脅。修補系統並不會刪除已部署在系統上的任何惡意軟體。
Palo Alto Networks Unit 42威脅報告指出Exchange Server攻擊的最初行動者使用的戰術、技術與程序(tactics, techniques and procedures;TTP)。
.使用7-Zip將竊取的數據壓縮到ZIP文件中以進行滲透。
.添加並使用Exchange PowerShell管理單元導出郵件信箱數據。
.使用Nishang Invoke-PowerShellTcpOneLine反向外殼。
.從GitHub下載PowerCat,然後使用它打開與遠程服務器的連接。
如果受到攻擊 請與資安事件應變小組聯繫
如果Exchange Server已受到威脅,則仍應採取措施來保護它免受上述漏洞的侵害,防止其他攻擊者進一步破壞系統。Exchange Server版本安裝額外的安全更新非常重要,但是這不會刪除系統上已經安裝的任何惡意程式,也不會驅逐網絡中存在的任何威脅。如果已受到攻擊,企業則應制定事件應變計畫。