微软上周公布并修补遭到黑客攻击的Exchange Server漏洞,但安全专家质疑微软从1月初经台湾安全厂商通报到实际修补,花了快2个月,动作太慢,而且怀疑漏洞存在可能已超过10年。
上周三微软公布Exchange Server 4项漏洞遭到黑客组织开采,以黑入企业窃取邮件,并会在Exchange Server创建后门。微软是在安全厂商Volexity及Dubex通报下得知攻击行动。Dubex和Volexity是在1月27日及2月2日分别通报微软。
但是微软对安全博客KrebsonSecurity坦承,他们是在1月初发现情况有异,但直到3月2日(3月3日)发出紧急安全公告及修补程序,已经将近2个月。
最早通报微软的可能是台湾安全企业戴夫寇尔(DEVCORE)。根据戴夫寇尔的说明,他们早在去年12月就发现Exchange的CVE-2021-26855及CVE-2021-27065两个漏洞(合称为ProxyLogon)以及可被串联攻击,1月5日就警告微软可能的攻击行动,并在1月6日获得微软方面证实漏洞及攻击可能性。另一方面,Volexity原先研判针对CVE-2021-26855发动的跨网站请求伪造(SSRF)攻击,最早出现在1月6日,但昨天Volexity认为应该要再往前推到1月3日。
3月2日微软发布安全公告当天,戴夫寇尔安全研究员蔡政达也预告微软的修补行动,显然深知微软的作业进度。
根据微软公告,受影响的Exchange Server版本包括2013、2016及2019。此外,为了深度防御(defense in depth)理由,微软也为不再支持的Exchange Server 2010提供更新。KrebsonSecurity指出,这表示这些漏洞可能影响Exchange Server程序代码超过10年。
黑客只要发现未修补Exchange漏洞的服务器即可发动攻击。从3月2日微软公告起算,短短三天内美国被黑的Exchange Server至少超过3万家组织,包括研究机构、智库、警察消防局、地方政府、银行、电信企业或中小企业,全球受害者也可能来到数十万,包括今天公布的欧洲金管会旗下欧洲银行管理局(European Banking Authority)。