帳號:
密碼:
最新動態
產業快訊
CTIMES/SmartAuto / 新聞 /
Exchange Server零時差漏洞攻擊頻傳 四招手段助企業有效防範
 

【CTIMES/SmartAuto 報導】   2021年03月16日 星期二

瀏覽人次:【2335】

微軟Exchange Server電子郵件伺服器近期被發現了四個重大零時差漏洞(CVE-2021-26855、CVE-2021-26857、 CVE-2021-26858 及 CVE-2021-27065)。因為這些漏洞,攻擊者可以長期利用Exchange Server漏洞進行攻擊。

微軟威脅情報中心(MSTIC)將這些攻擊以「高可信度」認定為HAFNUIM駭客組織,他們評估HAFNUIM是由中國資助並在中國以外營運的組織。包括MSTIC和Unit 42在內的多個威脅情報團隊也發現多個網路攻擊者現正利用這些零時差漏洞作攻擊。

預估全球受此網路攻擊的企業數以萬計,更重要的是,在發佈漏洞修補之前,攻擊者已充分利用這些漏洞至少兩個月的時間。根據從Palo Alto Networks Expanse平台收集的遙測數據,估計世界上仍然有超過125,000台未修補漏洞的Exchange Servers,Palo Alto Networks日前也公佈目前偵測到在台灣約有950個Exchange Server零時差漏洞威脅。

Palo Alto Networks建議企業遵循四種方法,來應對環境中零時差潛在威脅。

找到所有Exchange Server 確定是否需要修補漏洞

有漏洞的Exchange Server版本包括2013年版本、2016年版本和2019年版本。雖然Exchange 2010不受Exchange 2013/2016/2019年相同的攻擊鏈的攻擊,Microsoft仍為此版本的軟件發佈了CVE-2021-26857的修補。Microsoft最近發佈了針對較舊也不受支援的Exchange版本的額外指南。

微軟也建議更新所有的Exchange Server,並優先考慮對外網路的更新。即使企業發現Exchange Server不是用來對外網路為主的路徑,如果透過其他外部網路,攻擊者仍然可以利用這些漏洞。

修補並保護企業所有的Exchange Server

如果不能立即更新或修補Exchange Server,有一些緩解措施和解決方案可能會減少攻擊者利用Exchange Server的機會,這些緩解措施應該只是暫時的,直到漏洞被修補完成。如果Exchange Server的入站流量啟用了SSL解密,已更新為Threat Prevention Content Pack 8380或更高版本的Palo Alto Networks新世代防火牆(NGFW)可以防止這些漏洞。在Exchange Server上運行的Cortex XDR將檢測並阻止這些攻擊中常用的webshell活動。

初始攻擊需要具有與Exchange Server網路埠443的不受信任的連接能力。可以透過限制不受信任的使用者對系統的連接來防止這種情況的發生。或僅允許VPN進行身份驗證的使用者連接系統或透過使用防火牆將連接限制設為對特定主機或IP範圍的連接來進行。使用此措施僅能防禦攻擊的初始部分。如果攻擊者已經可以連接網路或者可以說服管理員打開惡意文件,則仍然可以觸發攻擊鏈的其他部分。

有關使用Palo Alto Networks產品的更多訊息,包括訂閱安全防火牆,用於自動化的Cortex XSOAR和用於端點保護的Cortex XDR,可以在我們的威脅評估頁面中找到。

確定Exchange Server是否已受到威脅

這些漏洞已經氾濫成災,並被積極利用了超過一個月,最早的跡象顯示這個漏洞可以追溯到1月3日。任何使用這些容易受駭客攻擊的組織都必須評估其伺服器是否受到威脅。修補系統並不會刪除已部署在系統上的任何惡意軟體。

Palo Alto Networks Unit 42威脅報告指出Exchange Server攻擊的最初行動者使用的戰術、技術與程序(tactics, techniques and procedures;TTP)。

.使用7-Zip將竊取的數據壓縮到ZIP文件中以進行滲透。

.添加並使用Exchange PowerShell管理單元導出郵件信箱數據。

.使用Nishang Invoke-PowerShellTcpOneLine反向外殼。

.從GitHub下載PowerCat,然後使用它打開與遠程服務器的連接。

如果受到攻擊 請與資安事件應變小組聯繫

如果Exchange Server已受到威脅,則仍應採取措施來保護它免受上述漏洞的侵害,防止其他攻擊者進一步破壞系統。Exchange Server版本安裝額外的安全更新非常重要,但是這不會刪除系統上已經安裝的任何惡意程式,也不會驅逐網絡中存在的任何威脅。如果已受到攻擊,企業則應制定事件應變計畫。

關鍵字: 駭客攻擊  資安 
相關新聞
《2025全球資安威脅預測》威脅手法將更強大複雜 挑戰資安防禦極限
第二屆TAS威脅分析師高峰會登場 齊聚專家構築資安聯防戰線
沙崙資安基地首創虛實整合資安競賽 CGGC「海狗再打十年」隊奪冠
資拓宏宇雲端永續智能方案 打造數位轉型新解方
2024 TIE:資策會5G資安技術守護網路世界安全
相關討論
  相關文章
» 汽車微控制器技術為下一代車輛帶來全新突破
» 以馬達控制器ROS1驅動程式實現機器人作業系統
» 推動未來車用技術發展
» 節流:電源管理的便利效能
» 開源:再生能源與永續經營


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 遠播資訊股份有限公司版權所有 Powered by O3  v3.20.2048.18.226.169.169
地址:台北數位產業園區(digiBlock Taipei) 103台北市大同區承德路三段287-2號A棟204室
電話 (02)2585-5526 #0 轉接至總機 /  E-Mail: webmaster@ctimes.com.tw