過去很少出現像 Microsoft Exchange Server這次所遭遇這麼大規模的網路間諜事件。根據 Microsoft 指出,這個由中國政府在背後支持的駭客集團運用了四種漏洞攻擊手法。
據稱美國至少已有 30,000 家企業受害,全球的話應該遠超過這個數字,受害的企業系統可能因此遭駭客從遠端遙控。根據我們最近在 Shodan 上搜尋的結果,目前大約還有 63,000 台伺服器暴露於這些漏洞攻擊的風險中。
企業應立即套用目前可用的修補更新,若無法立即修補,就應該將含有漏洞的伺服器離線。所有正在使用 Exchange 伺服器的企業機構都應檢查是否有遭駭客入侵的跡象。
我們強烈建議使用者採取 Microsoft 所建議的行動,此外我們也針對我們的客戶提供了額外的偵測及防護功能。
事件經過
根據調查,駭客攻擊最早可追溯至 2021 年 1 月 6 日,一個 Microsoft 命名為「 Hafnium」 的駭客集團攻擊了四個 Microsoft Exchange Server 零時差漏洞。駭客透過位於美國的虛擬私人伺服器 (VPS) 來掩蓋其真正的位置。Microsoft 已在上週發布緊急修補更新,並 在聲明中指出:
「在我們觀察到的攻擊中,駭客利用這些漏洞來存取企業內的 Exchange 伺服器,進而駭入使用者的電子郵件帳號,並且安裝其他惡意程式以便長期進出受害者的環境。」
當駭客將這些漏洞攻擊手法串聯起來,就能以 Exchange 伺服器的身分通過認證,並以「系統」身分來執行程式,同時能在伺服器的任意路徑上寫入檔案。駭客在攻擊這四個漏洞得逞之後,接著會在系統植入網站腳本來竊取資料,並透過其他惡意行為來進一步滲透目標,例如植入勒索病毒。
美國白宮和美國網路資安基礎架構安全局 (Cybersecurity and Infrastructure Security Agency,簡稱 CISA) 非常擔心這次攻擊所帶來的長遠影響。CISA 已下令政府機關立即修補系統,否則就要將內部 Exchange 伺服器離線。
如何判斷自己是否受到影響?
根據 Microsoft 的初步評估,Hafnium 駭客集團先前就曾攻擊過一些傳染病研究、法務、高等教育、國防、政策智庫、NGO 等機構。不過,也有人認為最新的這波攻擊是其他駭客集團所為。不管威脅從何而來,前任 CISA 局長Chris Krebs 警告 ,中小企業、教育機構、州政府與地方政府等等受害的比例明顯較高,因為這些單位的資安資源通常較少。
若您的機構也正在使用 Exchange Server,您可透過以下方式來檢查一下自己是否受到影響:
- 使用 Microsoft 偵測工具來掃描您的 Exchange Server 記錄檔,看看是否曾經遭到入侵。
- 使用 Trend Micro Vision One 對您的環境進行清查,看看是否有這波攻擊的入侵指標 (IoC)
下一步該怎麼辦?
若您已掃描過您的環境並發現自己尚未遭到入侵,假使您還未修補系統,那麼請盡快套用Microsoft 釋出的修補更新。
若您使用 Microsoft 工具來掃描時發現駭客可能已經由這些漏洞入侵了您的環境,那麼您應該開始進入事件應變狀態。
只是,您還是得視自身的狀況和資源來決定該採取什麼行動,以下是我們給中小企業及大型企業的建議:
- 若您沒有自己的資安團隊,請聯絡您的資安廠商或託管服務供應商 (MSP) 來提供協助。
- 若您有自己的事件應變團隊,那麼請他們研究一下接下來該如何處理。
- 在未完成鑑識分析掃描之前,切勿重灌任何系統,以確定所有入侵指標 (IoC) 都能完整保留。
- 聯絡您的法務團隊,討論一下有關資安事件通知適宜。
如需有關趨勢科技針對這項攻擊的額外偵測及防護功能,請參閱以下這篇知識庫文章。一有最新消息,我們會隨時更新這篇文章:https://success.trendmicro.com/solution/000285882.
相關中文譯稿:Microsoft Exchange 零時差 (0-Day) 漏洞攻擊偵測、防護、回應
原文出處:Microsoft Exchange Attack:Am I affected and what do I do next?