微軟本周末更新Windows安全工具Microsoft Safety Scanner(MSERT),以協助企業偵測Exchange Server中有無駭客植入的web shell程式。
微軟上周發出安全公告,指出一個由中國政府支持的駭客組織Hafnium,正在利用Exchange Server合稱為ProxyLogon的4項零時差漏洞(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858及CVE-2021-27065),以駭入本地部署郵件系統的組織,目的在竊取私密郵件。同時也針對受影響的Exchange Server 2013、2016和2019版緊急釋出更新版本。
微軟強烈建議用戶立即更新Exchange Server軟體。一旦攻擊者成功駭入Exchange環境就會植入web shell程式,這種網頁程式有如後門,讓駭客得以長期從遠端控制受害組織的Exchange Server,包括竊取郵件、帳號資訊、執行任意程式碼、或在內部網路橫向移動。
微軟的Microsoft Defender for Endpoint已經整合最新版的Microsoft Safety Scanner(MSERT.exe),以偵測可能的惡意web shell,包括
Exploit:Script/Exmann.A!dha、Behavior:Win32/Exmann.A、Backdoor:ASP/SecChecker.A、Backdoor:JS/Webshell (非僅Exchange Server攻擊獨有)、Trojan:JS/Chopper!dha (非僅Exchange Server攻擊獨有)、Behavior:Win32/DumpLsass.A!attk (非僅Exchange Server攻擊獨有)、Backdoor:HTML/TwoFaceVar.B (非僅Exchange Server攻擊獨有)
未使用Microsoft Defender的用戶,也可單獨下載Microsoft Safety Scanner(MSERT)工具。管理員可以選擇全系統掃瞄或自訂掃瞄範圍。可能藏有web shell的資料夾包括:
● %IIS installation path%\aspnet_client\*
● %IIS installation path%\aspnet_client\system_web\*
● %Exchange Server installation path%\FrontEnd\HttpProxy\owa\auth\*
● 暫時性的ASP.NET files path
● %Exchange Server Installation%\FrontEnd\HttpProxy\ecp\auth\*
Microsoft Safety Scanner使用的定義檔和Defender一樣,可用於偵測和移除上述的web shell,只是不會主動即時偵測,而需由使用者自己執行。
從微軟上周三(3/3)發出安全公告短短幾天內,針對未修補的Exchange Server漏洞開採行動大幅增加。安全廠商指出,如果使用Exchange的企業組織沒有更新,極大可能此時已經被駭。
由於Exchange Server使用十分普及,加上許多企業也設定可遠端存取的Outlook Web Access (OWA),因此這次漏洞影響全球眾多政府和民間機構。安全廠商估計,過去幾天內美國境內至少有3萬個企業及政府單位,包括州、郡、市政府,警察、消防單位及銀行、電力公司、小型企業、長照機構等已經被駭。而全球可能也有數萬、甚至數十萬機構受害,這些企業的漏洞修補及web shell清除,將是耗費極大人力的工程。
歐洲金融主管機關下的歐洲銀行管理署(European Banking Authority,EBA)昨天也公告其Exchange Server被駭入。EBA已經將郵件系統下線,並配合安全專家及有關單位調查資料外洩的情形。
微軟提醒,這些工具雖能發現已知攻擊,但不保證能完全防止針對上述4項漏洞的攻擊。微軟表示會持續更新這些安全工具。
熱門新聞
2024-12-24
2024-12-22
2024-08-14
2024-12-20
2024-11-29