Exchange Server零时差漏洞攻击 Palo Alto Networks提出4招防范
▲Palo Alto Networks台湾区总经理尤惠生。(图/Palo Alto Networks提供)
微软Exchange Server电子邮件伺服器近期被发现4个重大零时差漏洞(CVE-2021-26855、CVE-2021-26857、 CVE-2021-26858 及 CVE-2021-27065),这些漏洞使攻击者可以长期利用Exchange Server漏洞进行攻击,Palo Alto Networks提出4招防范。
微软威胁情报中心(MSTIC)将这些攻击以「高可信度」认定为HAFNUIM骇客组织,他们评估HAFNUIM是由中国大陆资助,并在中国大陆以外营运的组织,包括MSTIC和Unit 42在内的多个威胁情报团队也发现多个网路攻击者现正利用这些零时差漏洞作攻击。
全球预估受到网路攻击的企业数以万计,更重要的是在发布漏洞修补之前,攻击者已经充分利用这些漏洞至少两个月的时间,根据从Palo Alto Networks Expanse平台收集的遥测数据,估计世界上仍然有超过12.5万台未修补漏洞的Exchange Servers,并侦测到的在台湾发现约有950个Exchange Server零时差漏洞威胁。
Palo Alto Networks建议4招防范,首先找到所有Exchange Server,确定是否需要修补漏洞,因为有漏洞的Exchange Server版本,包括2013年版本、2016年版本和2019年版本,虽然Exchange 2010不受Exchange 2013/2016/2019年相同的攻击链的攻击,Microsoft仍为此版本的软件发布CVE-2021-26857的修补,而微软也建议更新所有的Exchange Server,并优先考虑对外网路的更新,即使企业发现Exchange Server不是用来对外网路为主的路径,如果透过其他外部网路,攻击者仍然可以利用这些漏洞。
Palo Alto Networks指出,第2招就是修补并保护企业所有的Exchange Server,如果不能立即更新或修补Exchange Server,有一些缓解措施和解决方案可能会减少攻击者利用Exchange Server的机会,这些缓解措施应该只是暂时的,直到漏洞被修补完成,如果Exchange Server的入站流量启用SSL解密,已更新为Threat Prevention Content Pack 8380或更高版本的Palo Alto Networks新世代防火墙(NGFW)可以防止这些漏洞,而在Exchange Server上运行的Cortex XDR将检测,并阻止这些攻击中常用的webshell活动。
Palo Alto Networks说明,第3招就是确定Exchange Server是否已经受到威胁,因为这些漏洞已经泛滥成灾,并被积极利用超过一个月,最早的迹象显示这个漏洞可以追溯到1月3日,任何使用这些容易受骇客攻击的组织都必须评估其伺服器是否受到威胁,修补系统并不会删除已部署在系统上的任何恶意软体。
Palo Alto Networks强调,第4招就是如果遭受到攻击,请与资安事件应变小组联系,因为如果Exchange Server已受到威胁,则仍应采取措施来保护它免受上述漏洞的侵害,防止其他攻击者进一步破坏系统,而Exchange Server版本安装额外的安全更新非常重要,但是这不会删除系统上已经安装的任何恶意程式,也不会驱逐网络中存在的任何威胁。