https://www.informationsecurity.com.tw/Seminar/2024_PaloAlto/
https://www.informationsecurity.com.tw/Seminar/2024_PaloAlto/

觀點

Microsoft Exchange 遭到襲擊:我是否受到影響,下一步該怎麼做?

2021 / 04 / 01
趨勢科技部落格 (本文為合作企劃文章)
Microsoft Exchange 遭到襲擊:我是否受到影響,下一步該怎麼做?
據稱美國至少已有 30,000 家企業受害,全球的話應該遠超過這個數字,受害的企業系統可能因此遭駭客從遠端遙控。根據我們最近在 Shodan 上搜尋的結果,目前大約還有 63,000 台伺服器暴露於這些漏洞攻擊的風險中。

企業應立即套用目前可用的修補更新,若無法立即修補,就應該將含有漏洞的伺服器離線。所有正在使用 Exchange 伺服器的企業機構都應檢查是否有遭駭客入侵的跡象。

我們強烈建議使用者採取 Microsoft  所建議的行動,此外我們也針對我們的客戶提供了額外的偵測及防護功能。

事件經過

根據調查,駭客攻擊最早可追溯至 2021 年 1 月 6 日,一個 Microsoft 命名為「 Hafnium」 的駭客集團攻擊了四個 Microsoft Exchange Server 零時差漏洞。駭客透過位於美國的虛擬私人伺服器 (VPS) 來掩蓋其真正的位置。Microsoft 已在上週發布緊急修補更新,並 在聲明中指出:

「在我們觀察到的攻擊中,駭客利用這些漏洞來存取企業內的 Exchange 伺服器,進而駭入使用者的電子郵件帳號,並且安裝其他惡意程式以便長期進出受害者的環境。」

當駭客將這些漏洞攻擊手法串聯起來,就能以 Exchange 伺服器的身分通過認證,並以「系統」身分來執行程式,同時能在伺服器的任意路徑上寫入檔案。駭客在攻擊這四個漏洞得逞之後,接著會在系統植入網站腳本來竊取資料,並透過其他惡意行為來進一步滲透目標,例如植入勒索病毒。

美國白宮和美國網路資安基礎架構安全局 (Cybersecurity and Infrastructure Security Agency,簡稱 CISA) 非常擔心這次攻擊所帶來的長遠影響。CISA 已下令政府機關立即修補系統,否則就要將內部 Exchange 伺服器離線。

相關文章: 多個駭客組織鎖定微軟ProxyLogon漏洞

如何判斷自己是否受到影響?

根據 Microsoft 的初步評估,Hafnium 駭客集團先前就曾攻擊過一些傳染病研究、法務、高等教育、國防、政策智庫、NGO 等機構。不過,也有人認為最新的這波攻擊是其他駭客集團所為。不管威脅從何而來,前任 CISA 局長Chris Krebs 警告 ,中小企業、教育機構、州政府與地方政府等等受害的比例明顯較高,因為這些單位的資安資源通常較少。

若您的機構也正在使用 Exchange Server,您可透過以下方式來檢查一下自己是否受到影響:
  • 使用 Microsoft 偵測工具來掃描您的 Exchange Server 記錄檔,看看是否曾經遭到入侵。
  • 使用 Trend Micro Vision One 對您的環境進行清查,看看是否有這波攻擊的入侵指標 (IoC)

下一步該怎麼辦?

若您已掃描過您的環境並發現自己尚未遭到入侵,假使您還未修補系統,那麼請盡快套用Microsoft 釋出的修補更新。

若您使用 Microsoft 工具來掃描時發現駭客可能已經由這些漏洞入侵了您的環境,那麼您應該開始進入事件應變狀態。

只是,您還是得視自身的狀況和資源來決定該採取什麼行動,以下是我們給中小企業及大型企業的建議:
  1. 若您沒有自己的資安團隊,請聯絡您的資安廠商或託管服務供應商 (MSP) 來提供協助。
  2. 若您有自己的事件應變團隊,那麼請他們研究一下接下來該如何處理。
  3. 在未完成鑑識分析掃描之前,切勿重灌任何系統,以確定所有入侵指標 (IoC) 都能完整保留。
  4. 聯絡您的法務團隊,討論一下有關資安事件通知適宜。

原文出處:資安趨勢部落格