https://www.ibm.com/events/event/pages/ibm/f7x183mb/1581037797007001PJAd.html
https://www.ibm.com/events/event/pages/ibm/f7x183mb/1581037797007001PJAd.html

解決方案

中芯數據針對微軟Exchange零日漏洞攻擊提出建議

2021 / 03 / 22
編輯部
中芯數據針對微軟Exchange零日漏洞攻擊提出建議
近期微軟Exchange Server資安事件引發全球關注,中芯數據資安技術團隊於這2週亦已發出10筆以上的高風險威脅通報,無一例外都是透過Exchange漏洞入侵到單位內部,由於入侵後駭客可以直接獲得system權限,因此駭客可以利用非常高的權限輕易地做到非法之事,如竊取公司重要資料、執行變臉詐騙攻擊(竄改匯款帳戶)、橫向擴散至內部其他重要主機、進行全單位加密勒索等,強烈建議各單位儘速進行Exchange漏洞修補,避免被有心人士趁機入侵至單位內部。
 
值得擔心的是,在修補後的駭客無法以此漏洞進行入侵,但在修補前,你是否能確認駭客已經進來了!?中芯數據資安技術團隊觀察到,由於此漏洞的特性,非常多的駭客行為近期只是先進行大規模掃描,當發現有此漏洞時,會先將惡意後門植入有問題的設備中,並進行初步的橫向擴散或端點資訊探查,潛伏其中待日後再進行更近一步的攻擊,由於駭客進入後可以直接獲得極高的系統權限,即可以輕易的散佈惡意程式於內部設備中,因此,就算企業主已經將Exchange進行更新,駭客還是能藉由之前早已放入內部的惡意後門進行持續的攻擊,進一步造成單位內部極大的資安危害,如下圖,即為中芯數據IPaaS近期某次通報中,駭客透過漏洞放入惡意webshell,接下來即可透過該webshell進行一系列的情蒐與橫向擴散。

中芯數據資安團隊建議:
各單位可以先初步檢查下路徑,確認路徑中是否有可疑檔案,路徑如下:
<volume>\inetpub\wwwroot\aspnet_client\
<volume>\inetpub\wwwroot\aspnet_client\system_web\
<exchange install path>\FrontEnd\HttpProxy\owa\auth\
<exchange install path>\FrontEnd\HttpProxy\owa\auth\Current\
<exchange install path>\FrontEnd\HttpProxy\owa\auth\<folder with version number>\
 
以上,為近日較為容易出問題的路徑,但只要駭客有心,他依舊可以利用漏洞上傳的其他地方,各單位應評估現有資安防護中,是否能有效針對已著漏洞入侵後,植入未知惡意後門的檢測機制與因應措施。中芯數據IPaaS服務除了會幫各位檢測全球情資及台灣獨有情資資料庫外,透過獨有的Intended Intrusion Hunting(IIH)技術,有別與以往資安設備只對單一行為進行偵測告警,IPaaS服務對於所部署的端點中任何可疑的行為,IIH機制會針對可疑行為的前後動作進行整合判斷,即便駭客利用系統或軟體漏洞進入內網,中芯數據IPaaS皆能立刻發現與立即通報,更提供詳細惡意程式資訊及完整的處置辦法,除了確保單位可以成功偵測到各種最新與未知的威脅之外,並可確保事件處理過程中,單位內業務服務都能正常運行不中斷。

相關新聞: 多家醫療單位遭受攻擊 中芯數據以獨家IIH技術全面防守