帳號:
密碼:
CTIMES/SmartAuto / 新聞 /
Exchange Server零時差漏洞攻擊頻傳 四招手段助企業有效防範
 

【CTIMES/SmartAuto 報導】   2021年03月16日 星期二

瀏覽人次:【761】
  

微軟Exchange Server電子郵件伺服器近期被發現了四個重大零時差漏洞(CVE-2021-26855、CVE-2021-26857、 CVE-2021-26858 及 CVE-2021-27065)。因為這些漏洞,攻擊者可以長期利用Exchange Server漏洞進行攻擊。

微軟威脅情報中心(MSTIC)將這些攻擊以「高可信度」認定為HAFNUIM駭客組織,他們評估HAFNUIM是由中國資助並在中國以外營運的組織。包括MSTIC和Unit 42在內的多個威脅情報團隊也發現多個網路攻擊者現正利用這些零時差漏洞作攻擊。

預估全球受此網路攻擊的企業數以萬計,更重要的是,在發佈漏洞修補之前,攻擊者已充分利用這些漏洞至少兩個月的時間。根據從Palo Alto Networks Expanse平台收集的遙測數據,估計世界上仍然有超過125,000台未修補漏洞的Exchange Servers,Palo Alto Networks日前也公佈目前偵測到在台灣約有950個Exchange Server零時差漏洞威脅。

Palo Alto Networks建議企業遵循四種方法,來應對環境中零時差潛在威脅。

找到所有Exchange Server 確定是否需要修補漏洞

有漏洞的Exchange Server版本包括2013年版本、2016年版本和2019年版本。雖然Exchange 2010不受Exchange 2013/2016/2019年相同的攻擊鏈的攻擊,Microsoft仍為此版本的軟件發佈了CVE-2021-26857的修補。Microsoft最近發佈了針對較舊也不受支援的Exchange版本的額外指南。

微軟也建議更新所有的Exchange Server,並優先考慮對外網路的更新。即使企業發現Exchange Server不是用來對外網路為主的路徑,如果透過其他外部網路,攻擊者仍然可以利用這些漏洞。

修補並保護企業所有的Exchange Server

如果不能立即更新或修補Exchange Server,有一些緩解措施和解決方案可能會減少攻擊者利用Exchange Server的機會,這些緩解措施應該只是暫時的,直到漏洞被修補完成。如果Exchange Server的入站流量啟用了SSL解密,已更新為Threat Prevention Content Pack 8380或更高版本的Palo Alto Networks新世代防火牆(NGFW)可以防止這些漏洞。在Exchange Server上運行的Cortex XDR將檢測並阻止這些攻擊中常用的webshell活動。

初始攻擊需要具有與Exchange Server網路埠443的不受信任的連接能力。可以透過限制不受信任的使用者對系統的連接來防止這種情況的發生。或僅允許VPN進行身份驗證的使用者連接系統或透過使用防火牆將連接限制設為對特定主機或IP範圍的連接來進行。使用此措施僅能防禦攻擊的初始部分。如果攻擊者已經可以連接網路或者可以說服管理員打開惡意文件,則仍然可以觸發攻擊鏈的其他部分。

有關使用Palo Alto Networks產品的更多訊息,包括訂閱安全防火牆,用於自動化的Cortex XSOAR和用於端點保護的Cortex XDR,可以在我們的威脅評估頁面中找到。

確定Exchange Server是否已受到威脅

這些漏洞已經氾濫成災,並被積極利用了超過一個月,最早的跡象顯示這個漏洞可以追溯到1月3日。任何使用這些容易受駭客攻擊的組織都必須評估其伺服器是否受到威脅。修補系統並不會刪除已部署在系統上的任何惡意軟體。

Palo Alto Networks Unit 42威脅報告指出Exchange Server攻擊的最初行動者使用的戰術、技術與程序(tactics, techniques and procedures;TTP)。

.使用7-Zip將竊取的數據壓縮到ZIP文件中以進行滲透。

.添加並使用Exchange PowerShell管理單元導出郵件信箱數據。

.使用Nishang Invoke-PowerShellTcpOneLine反向外殼。

.從GitHub下載PowerCat,然後使用它打開與遠程服務器的連接。

如果受到攻擊 請與資安事件應變小組聯繫

如果Exchange Server已受到威脅,則仍應採取措施來保護它免受上述漏洞的侵害,防止其他攻擊者進一步破壞系統。Exchange Server版本安裝額外的安全更新非常重要,但是這不會刪除系統上已經安裝的任何惡意程式,也不會驅逐網絡中存在的任何威脅。如果已受到攻擊,企業則應制定事件應變計畫。

關鍵字: 駭客攻擊  資安 
相關新聞
2021台灣資安大會 精誠集團展示五大解決方案
CYBERSEC 2021揭曉企業資安盛況 數位服務品牌搶占防禦前線
研華WISE-STACK私有雲方案 迎向工業物聯網資安新挑戰
思科助台強化資安 DevNet培育中心進駐林口新創園
微軟、鴻海啟動三大合作 定向智造新未來
comments powered by Disqus
相關討論
  相關新品
Arduino Motor Shield
原廠/品牌:RS
供應商:RS
產品類別:PC Board
mbed
原廠/品牌:RS
供應商:RS
產品類別:PC Board
Arduino
原廠/品牌:RS
供應商:RS
產品類別:PC Board
  相關產品
» 聯發科發布6奈米5G晶片天璣900 支援雙卡雙待和VoNR服務
» 統一物聯網的連接體驗 Silicon Labs推出全新Matter解決方案
» 凌華最新AI工業智慧相機 首度搭載NVIDIA Jetson Xavier NX系統
» Brook Livin研發居家用電防災神器 十秒診斷電線走火三大風險
» 英飛凌EasyDUAL CoolSiC MOSFET新模組採用AIN陶瓷基板
  相關文章
» Bureau Veritas(立德國際)加速「EV READY」認證時程助飛宏進軍全球充電站市場
» 晶體振盪器如何讓數位電子裝置同步化
» 無線技術複雜度飆升 頻譜分析持續進化
» 邁向「2050淨零碳排」先求共識 國際供應鏈須應變創商機
» 加速導入二維材料 突圍先進邏輯元件的開發瓶頸
  相關資源
» Power Management Solutions for Altera FPGAs

AD


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2021 遠播資訊股份有限公司版權所有 Powered by O3
地址:台北市中山北路三段29號11樓 / 電話 (02)2585-5526 / E-Mail: webmaster@ctimes.com.tw