美國網路安全暨基礎設施安全局(CISA)、國家安全局(NSA),以及澳洲與加拿大的網路安全機構,聯合發布了一份針對部署微軟 Exchange Server 的安全強化指引。這份文件強調,組織可透過限制管理存取權限、實施多因素驗證、強制執行嚴格的傳輸安全配置,以及採用零信任安全模型原則,大幅提升防禦能力,抵禦潛在的網路攻擊。
CISA 指出,針對 Microsoft Exchange Server 的惡意攻擊活動持續發生,未受保護及配置不當的伺服器成為主要攻擊目標。
建議組織在轉移至 Microsoft 365 後,應將已達生命週期終止(End-of-Life)的既有部署或混合式 Exchange 伺服器除役。
Exchange Server 面臨的持續威脅
近年來,國家級駭客組織與經濟動機的駭客團體持續利用多個 Exchange 安全漏洞入侵伺服器,包括
ProxyShell 與 ProxyLogon 等零日漏洞。2021 年 3 月,至少 10 個駭客組織利用 ProxyLogon 漏洞發動攻擊,其中包括惡名昭彰的中國駭客組織 Silk Typhoon。
延伸閱讀:中國Silk Typhoon駭客組織利用雲端信任關係發動供應鏈攻擊
根據德國聯邦資訊安全辦公室(BSI)發布警告,德國約 3.3 萬台連接網際網路的本地部署 Exchange 伺服器中,高達 92% 仍在運行已終止支援的版本。這些系統分屬於數千家企業,包括大量醫院與診所、學校與大學、社會服務機構、法律與稅務事務所、市政公用事業單位及地方行政機關。
微軟已發布 Exchange Server 2016 與 2019 的最終安全更新。未採取風險緩解措施的組織將持續面臨威脅。
目前唯一受支援的地端部署版本為 Exchange Server 訂閱版(Subscription Edition, SE)。微軟也為 Exchange 2016 與 2019 提供延伸安全更新服務,協助客戶完成遷移。然而,這些更新僅處理重大或重要漏洞,且該計畫將於 2026 年 4 月 14 日終止。
關鍵安全防護建議
聯合指引列出十多項關鍵安全建議,涵蓋更新維護、存取控制、驗證強化及加密防護等面向:
- 維護安全更新與修補程序:定期更新系統,確保獲得最新的安全修補
- 遷移已終止支援的 Exchange 伺服器:轉移至受支援版本或替代方案
- 確保 Exchange 緊急緩解服務(Emergency Mitigation Service)保持啟用
- 套用安全基準:包括 Exchange Server 基準、Windows 安全基準及郵件客戶端安全基準
- 啟用防護功能:包括防毒解決方案、Windows 反惡意軟體掃描介面(AMSI)、攻擊面減少(ASR)、AppLocker 與 App Control for Business、端點偵測與回應(EDR),以及 Exchange Server 的反垃圾郵件與反惡意軟體功能
- 限制管理存取:僅允許授權工作站存取 Exchange 管理中心(EAC)與遠端 PowerShell,並套用最小權限原則
- 強化驗證與加密:配置傳輸層安全性(TLS)、HTTP 嚴格傳輸安全(HSTS)、延伸保護(Extended Protection)、使用 Kerberos 與伺服器訊息區塊(SMB)取代 NTLM,並實施多因素驗證
- 停用使用者的遠端 PowerShell 存取:在 Exchange 管理命令介面(EMS)中限制遠端 PowerShell 功能
這些機構建議強化驗證機制,包括啟用多因素驗證、現代化驗證(Modern Auth)並運用 OAuth 2.0,部署 Kerberos 與 SMB 以取代 NTLM 來保護驗證過程。此外,應為 Exchange 管理命令介面啟用憑證式簽章,實施 HTTP 嚴格傳輸安全以確保瀏覽器連線安全,並實施角色型存取控制來管理使用者與管理員權限。
對於仍需運行未受支援 Exchange 版本的組織,CISA 提供了額外的緩解措施。首先,應將 Exchange Server 實例隔離在公開網際網路之外,並置於專用網段中。若需進行外部通訊,應透過獨立且受支援的電子郵件安全閘道來路由流量。
CVE-2025-59287 漏洞威脅加劇
指引發布前一天,CISA 更新針對
CVE-2025-59287 的警告。這是 Windows 伺服器更新服務(WSUS)元件中一個新修補的安全漏洞,可能導致遠端程式碼執行。
Sophos 報告指出,駭客正利用此漏洞從美國各產業組織竊取敏感資料,包括大學、科技業、製造業及醫療業。攻擊者透過易受攻擊的 Windows WSUS 伺服器執行 Base64 編碼的 PowerShell 指令,並將結果外洩至 webhook[.]site 端點。
Sophos 威脅情報總監 Rafe Pilling 表示,這項活動顯示威脅行動者迅速利用 WSUS 的重大漏洞,從易受攻擊的組織收集有價值的資料。他指出,這可能是初步測試或偵察階段,攻擊者正在分析所收集的資料,尋找新的入侵機會。雖然目前尚未看到進一步的大規模利用,但防禦者應將此視為早期警告。
CISA 建議組織識別易受攻擊的伺服器,套用微軟發布的緊急安全更新,並調查網路上的威脅活動跡象。重點監控項目包括:
- 監控並審查可疑活動與以系統層級權限衍生的子程序,特別是源自 wsusservice.exe 或 w3wp.exe 的程序
- 監控並審查使用 base64 編碼 PowerShell 指令的巢狀 PowerShell 程序
政府介入的意義
史丹佛大學國際安全與合作中心研究學者 AJ Grotto 指出,政府通常不會介入提供私人公司產品的詳細安全操作指引。多國安全與情報機構認為有必要製作這份文件,這對微軟的安全態勢構成嚴厲批評。微軟之所以能逃脫疏忽責任,是因為客戶被鎖定在其生態系統中,使其得以將風險與成本轉嫁給客戶。
CISA 網路安全部門執行副主任 Nick Andersen 表示,CISA 建議組織評估採用雲端電子郵件服務,避免自行管理複雜的託管通訊系統。
保護 Exchange 伺服器對於維護企業通訊與功能的完整性及機密性至關重要。組織應持續評估並強化這些通訊伺服器的網路安全態勢,以領先不斷演進的網路威脅,確保 Exchange 作為許多組織營運核心的強健防護。
本文轉載自 BleepingComputer、HelpNetSecurity、TheHackerNews。