就在國土安全部旗下的網路安全暨基礎架構安全署(CISA)發布緊急指令,要求所有的聯邦機構立即關閉或隔離內含漏洞的SolarWinds Orion產品之後,微軟也跟著宣布,從太平洋標準時間(PST)周三(12/16)上午8點起(臺北時間17日00:00),該公司的Defender Antivirus將會開始封鎖已知的惡意SolarWinds二進位檔案。
Microsoft 365 Defender威脅情報團隊表示,新的政策將會隔離惡意的SolarWinds二進位檔案,就算相關程序正在執行也一樣,儘管他們理解含有漏洞的SolarWinds Orion Platform是個運作於客戶環境中的伺服器產品,不那麼容易從服務中移除,但微軟仍建議客戶應該要隔離並調查相關裝置。
該團隊指出,Orion Platform用戶應該要立即隔離受到影響的裝置,假設惡意程式已經啟動,該裝置很可能已完全受到駭客的掌控;找出曾在受影響裝置上使用的各種帳號,重設這些帳號的密碼或是廢除帳號;調查受到影響的端點是如何被危害的;調查裝置的時間軸以判斷駭客是利用哪些帳號來進行橫向移動;以及檢查系統上是否遺留了駭客所植入的其它工具。
倘若組織的服務無法中斷,那麼微軟也建議組織應該採取行動以排除SolarWinds二進位檔案,微軟並提供了排除指南。
含有漏洞的Orion Platform版本為從今年3月到6月間釋出的SolarWinds Orion Platform 2019.4 HF 5至2020.2.1版,駭客於這些版本中植入了木馬程式,SolarWinds估計,全球有接近1.8萬家客戶採用了含木馬程式的產品。
SolarWinds在本周發表了與該漏洞有關的常見問答集,指出根據該公司迄今的調查,相信駭客是危害了Orion軟體的構建系統,並非是Orion產品的原始碼有問題,亦強調除了上述版本之外,自2020.2.1 HF 1與之後的版本都是安全的。
資安業者Volexity則在本周公布了一受駭案例,這是一家未具名的智庫組織,接二連三地遭到同一批被該公司命名為Dark Halo的駭客攻擊,Dark Halo在今年6月與7月便是透過Orion平臺滲透了該組織,目的是取得特定人士的電子郵件內容,包括該組織的多名高層、政策專家與IT部門員工等,且Dark Halo所使用的C&C伺服器及後門伺服器,都與其它資安業者所揭露的Orion攻擊事件一致。
熱門新聞
2024-11-25
2024-11-25
2024-11-25
2024-11-25
2024-11-25
2024-11-15