Exchange Server零時差漏洞攻擊 Palo Alto Networks提出4招防範
▲Palo Alto Networks臺灣區總經理尤惠生。(圖/Palo Alto Networks提供)
微軟Exchange Server電子郵件伺服器近期被發現4個重大零時差漏洞(CVE-2021-26855、CVE-2021-26857、 CVE-2021-26858 及 CVE-2021-27065),這些漏洞使攻擊者可以長期利用Exchange Server漏洞進行攻擊,Palo Alto Networks提出4招防範。
微軟威脅情報中心(MSTIC)將這些攻擊以「高可信度」認定爲HAFNUIM駭客組織,他們評估HAFNUIM是由中國大陸資助,並在中國大陸以外營運的組織,包括MSTIC和Unit 42在內的多個威脅情報團隊也發現多個網路攻擊者現正利用這些零時差漏洞作攻擊。
全球預估受到網路攻擊的企業數以萬計,更重要的是在發佈漏洞修補之前,攻擊者已經充分利用這些漏洞至少兩個月的時間,根據從Palo Alto Networks Expanse平臺收集的遙測數據,估計世界上仍然有超過12.5萬臺未修補漏洞的Exchange Servers,並偵測到的在臺灣發現約有950個Exchange Server零時差漏洞威脅。
Palo Alto Networks建議4招防範,首先找到所有Exchange Server,確定是否需要修補漏洞,因爲有漏洞的Exchange Server版本,包括2013年版本、2016年版本和2019年版本,雖然Exchange 2010不受Exchange 2013/2016/2019年相同的攻擊鏈的攻擊,Microsoft仍爲此版本的軟件發佈CVE-2021-26857的修補,而微軟也建議更新所有的Exchange Server,並優先考慮對外網路的更新,即使企業發現Exchange Server不是用來對外網路爲主的路徑,如果透過其他外部網路,攻擊者仍然可以利用這些漏洞。
Palo Alto Networks指出,第2招就是修補並保護企業所有的Exchange Server,如果不能立即更新或修補Exchange Server,有一些緩解措施和解決方案可能會減少攻擊者利用Exchange Server的機會,這些緩解措施應該只是暫時的,直到漏洞被修補完成,如果Exchange Server的入站流量啓用SSL解密,已更新爲Threat Prevention Content Pack 8380或更高版本的Palo Alto Networks新世代防火牆(NGFW)可以防止這些漏洞,而在Exchange Server上運行的Cortex XDR將檢測,並阻止這些攻擊中常用的webshell活動。
Palo Alto Networks說明,第3招就是確定Exchange Server是否已經受到威脅,因爲這些漏洞已經氾濫成災,並被積極利用超過一個月,最早的跡象顯示這個漏洞可以追溯到1月3日,任何使用這些容易受駭客攻擊的組織都必須評估其伺服器是否受到威脅,修補系統並不會刪除已部署在系統上的任何惡意軟體。
Palo Alto Networks強調,第4招就是如果遭受到攻擊,請與資安事件應變小組聯繫,因爲如果Exchange Server已受到威脅,則仍應採取措施來保護它免受上述漏洞的侵害,防止其他攻擊者進一步破壞系統,而Exchange Server版本安裝額外的安全更新非常重要,但是這不會刪除系統上已經安裝的任何惡意程式,也不會驅逐網絡中存在的任何威脅。