微軟零時差漏洞影響劇烈 Check Point發現企業受攻擊次數倍增

Check Point 揭露近日 Microsoft Exchange Server 零時差漏洞的相關攻擊數據。(Check Point 提供/黃慧雯臺北傳真)

網路安全解決方案廠商Check Point Software Technologies Ltd.揭露近日Microsoft Exchange Server零時差漏洞的相關攻擊數據,並預告即將公佈防範建議。自漏洞曝光後,駭客資安人員之間展開了一場激烈的攻防戰全球資安專家們正努力採取大規模預防措施,而駭客們則持續試圖利用 Microsoft Exchange 中的遠端程式碼執行漏洞(RCE)。

Check Point數據顯示,當前遭受最多攻擊的國家美國 (17%),其次是德國(6%)、英國(5%)及荷蘭(5%);首當其衝的行業分別爲政府軍事部門(27%)、製造業(15%)與金融業(14%)。

Check Point數據顯示Microsoft Exchange Server零時差漏洞的網路攻擊方向。(Check Point 提供/黃慧雯臺北傳真)

【微軟Exchange Server零時差漏洞事件

微軟在 3 月 3 日針對Exchange Server 發佈了一個緊急修補程式。Exchange Server爲全球最受歡迎的電子郵件伺服器,在收發電子郵件、會議邀請以及任何使用Outlook 的過程皆會使用到。

來自臺灣資安公司戴夫寇爾(DEVCORE)的蔡政達於一月份揭露了兩個漏洞,爲確定這些漏洞的嚴重程度,微軟對 Exchange Server作了進一步調查,隨後又發現五個重大漏洞。透過這些漏洞,攻擊者無需經過身份驗證或登入帳戶,即可從 Exchange Server讀取電子郵件,若進一步使用漏洞串聯(Vulnerability Chaining),攻擊者則能夠完全接管電子郵件伺服器。一旦攻擊者接管了 Exchange Server,他們就可以連網並進行遠端存取,因爲許多 Exchange Server都具有網路暴露(internet exposer)功能,特別是 Outlook網頁版,並整合至更廣泛的網路之中,這對數百萬企業構成了嚴重的安全風險

【可能面臨風險的企業】

若企業的微軟 Exchange Server 有連接至網路、未更新至最新的修補程式,且沒有采用第三方軟體廠商如 Check Point 的保護,即可假定該伺服器已遭受攻擊。受感染的伺服器將允許未經授權的攻擊者竊取企業的電子郵件,並以系統權限在企業內執行惡意程式碼。

自漏洞被揭露以來,Check Point Research陸續收到了許多有關攻擊者身份、動機和近期主要駭客事件背景問題。如同先前的Sunburst攻擊,在這次攻擊中,攻擊者將一個常見的平臺作爲入口秘密入侵併長期停留在網路中,而好消息是,只有技術高超資金充足的攻擊者才能利用前門潛入全球數以萬計的企業。儘管這場利用 Exchange Server 零時差漏洞發起的攻擊引起了廣泛關注,但其攻擊目的以及駭客試圖竊取的內容仍不爲人所知。面臨風險的企業不僅應爲其 Exchange Server 採取預防措施,更應全面檢視企業網路中的活躍威脅及所有資產

Check Point 爲預防攻擊及資安防護的目的,建議立即手動更新微軟 Exchange Server 至微軟提供的最新修補版本