過去很少出現像 Microsoft Exchange Server這次所遭遇這麼大規模的網路間諜事件。根據 Microsoft 指出,這個由中國政府在背後支持的駭客集團運用了四種漏洞攻擊手法。
據稱美國至少已有 30,000 家企業受害,全球的話應該遠超過這個數字,受害的企業系統可能因此遭駭客從遠端遙控。根據我們最近在 Shodan 上搜尋的結果,目前大約還有 63,000 台伺服器暴露於這些漏洞攻擊的風險中。
企業應立即套用目前可用的修補更新,若無法立即修補,就應該將含有漏洞的伺服器離線。所有正在使用 Exchange 伺服器的企業機構都應檢查是否有遭駭客入侵的跡象。
我們強烈建議使用者採取 Microsoft 所建議的行動,此外我們也針對我們的客戶提供了額外的偵測及防護功能。
繼續閱讀摘要
2021 年 3 月 2 日,Microsoft 發出了一份安全公告與緊急修補更新來解決多個目前正遭受猛烈攻擊的 Microsoft Exchange Server 企業內版本零時差漏洞。
受影響的 Microsoft Exchange Server 版本包括:2010 (EOL)、2013、2016 以及 2019。
公告中所指出的四個重大漏洞包括了一個可讓駭客入侵系統的網路端伺服器端請求偽造 (SSRF) 漏洞 (CVE-2021-26855),以及三個可在通過認證之後發動攻擊的本地端漏洞:CVE-2021-26857、CVE-2021-26858 及 CVE-2021-27065。
研究人員認為,駭客是藉由一連串的漏洞攻擊手法來攻擊含有這些漏洞的 Exchange Server,進而駭入企業網路、竊取機敏資訊 (如:所有的電子郵件信箱與通訊錄),並從事其他惡意活動,包括:蒐集使用者登入憑證、篡改 Active Directory、在企業內四處遊走等等。
除了閱讀 Microsoft 的安全公告以及下列文章之外,強烈建議所有可能受到影響的客戶也應參考美國「網路資安與基礎架構安全局 (Cybersecurity & Infrastructure Security Agency,簡稱 CISA) 所發布的 Alert AA21-0621A 警示來獲得進一步的指示和資訊。
1月3日,微軟在每月的周二修補日之前先發布了給Windows 10的緊急安全更新,目的是要解決最近Intel處理器被發現的設計缺陷。這個更新還在修補程序中加入新的先決條件:需要具備特定註冊機碼才能部署和安裝。以下是趨勢科技客戶和使用者所需要了解的事情:
趨勢科技發現一個惡意RTF檔案會利用漏洞CVE-2017-11882來散播間諜軟體Loki(TSPY_LOKI)。它透過HTML應用程式(HTA)來呼叫PowerShell植入惡意軟體,再來取得資料竊取軟體。
CVE-2017-11882是什麼?
CVE-2017-11882是微軟Office(包括Office 360)內存在17年的記憶體損毀問題。一旦攻擊成功,在開啟惡意文件後可以讓攻擊者在有漏洞的電腦上執行遠端程式碼(無需經過使用者互動)。這個漏洞存在於方程式編輯器(EQNEDT32.EXE),這是微軟Office用來在文件中插入或編輯OLE物件的工具。概念證明漏洞攻擊碼已經被公布,而微軟已經在11月份的星期二更新日修補了這個漏洞。
Loki病毒家族可以竊取FTP客戶端的帳號資料,以及儲存在各種網路瀏覽器和數位貨幣錢包的憑證。Loki還可以從“Sticky”相關(即Sticky Notes)和線上撲克遊戲應用程式收集資料。
[相關資料:Cobalt駭客集團再次將目標放在俄語企業]
攻擊者如何利用CVE-2017-11882? 繼續閱讀
就在趨勢科技 Zero Day Initiative 零時差漏洞懸賞機構發現了兩個新的 QuickTime for Windows 漏洞不久之後,Apple 即宣布即將終止對該軟體的支援。
這兩個漏洞可能讓駭客從遠端執行程式碼,進而掌控受害的電腦。若發生在企業環境內部,這等於是敞開大門讓駭客進入全公司網路。
根據趨勢科技全球威脅通訊經理 Christopher Budd 表示,目前尚未看到有任何攻擊已利用這些漏洞,但問題是,這兩個漏洞永遠也沒有機會修補。
Budd 表示:「繼 Microsoft Windows XP 和 Oracle Java 6 之後,QuickTime for Windows 軟體現在也加了支援終止的行列,因此未來不會再釋出更新來修補漏洞。所以,其資安風險將隨著被發現的漏洞數量而不斷升高。最終辦法還是只有依照 Apple 建議將 QuickTime for Windows 解除安裝一途。」
呼籲大家最好遵照 Apple 的建議盡快將 QuickTime for Windows 軟體解除安裝。
原因有二: 繼續閱讀