根據微軟調查,一開始被駭的企業即使事後已經修補ProxyLogon漏洞、也還沒發生實際攻擊情事,也不能掉以輕心,因為駭客可能採取滲透手法伺機而動,或利用偷來的帳密從其他管道駭入企業網路。

雖然絕大多數本地部署的Exchange Server都已經修補好ProxyLogon漏洞,但微軟警告,這不表示事情就做完了,因為許多一開始被駭而不自知的企業,有許多未爆彈得解決,如駭客滲透進企業網路,或是以偷來的帳密駭入其他系統。

三月初微軟公佈安全公告,警告駭客組織Hafnium正在開採本地部署Exchange Server上的四個合稱為ProxyLogon的零時差漏洞,同時針對Exchange Server 2013、2016和2019釋出第一波安全更新。之後就是一連串安全研究,揭露針對這組漏洞的威脅,包括勒索軟體、挖礦軟體,以及人為開採等。安全廠商ESET也指出至少有其他10組駭客組織早已動手。

另一方面,微軟也不斷做出各種補救措施,包括涵蓋面更廣的第二波Exchange Server更新,以及一鍵式工具EOMT(Exchange On-premise Migration Tool)和更新Microsoft Defender Antivirus特徵檔,而緩解四項漏洞中的CVE-2021-26855。微軟上周宣布,經過一番努力,全球92%的Exchange Server已經修補漏洞或獲得緩解。

但是根據微軟針對本地部署的Exchange Server做的調查,企業仍面臨不少威脅。例如許多一開始被駭的企業還沒被攻擊,像是以人為操作的勒索軟體攻擊或資料外洩,這表示攻擊者可能計畫即將展開下一波行動,他們可能採取滲透手法伺機而動,或利用偷來的帳密從其他管道駭入企業網路。

微軟列舉的可能威脅包括Web Shell、人為植入勒索軟體,以及竊取登入憑證資料。微軟觀察到許多未修補的Exchange Server上被建立web shell程式,這種程式可能被駭客當成後門,以便用來竊取郵件、或執行程式碼。在勒索軟體方面,安全廠商至少發現有二隻勒索軟體如DearCryBlack Kingdom(微軟稱為DoejoCrypt及Pydomer)已被駭客透過開採Exchange漏洞,以植入企業網路環境。

其他已知的威脅,還包括散佈挖礦軟體的殭屍網路Lemon Duck(黃色小鴨)。

第三項風險是竊取登入憑證。雖然目前登入資料不是駭客首要目標,但是存取Exchange系統能讓他們取得重要憑證,用於日後其他攻擊。例如他們可能藉此取得網域管理員帳號,或是具備援權限的服務帳號。這樣一來,攻擊者就能Exchange事件之後許久,在網路環境下發動勒索軟體或竊密行動。

為防止可能的後續攻擊,微軟建議企業應立即檢視Exchange Server是否有駭入跡象、web shell,並檢查用戶及用戶群組是否有可疑新增帳號,呼籲變更所有用戶帳號和本地管理員帳號密碼,而 Event ID 1102則意味駭客刪除事件log。另外也要留心滲透手法,如RDP、防火牆、WMI訂閱及WinRM組態可疑變更、新增的服務、排程或啟動物件,或是非微軟的RDP及遠端存取,以及不明的Exchange郵件轉寄政策變更等。

熱門新聞

Advertisement