微软Exchange Server电子邮件服务器近期被发现了4个重大零时差漏洞,这些漏洞使攻击者可以长期利用Exchange Server漏洞进行攻击。对此,安全企业Palo Alto Networks估计,世界上仍然有超过125,000台未修补漏洞的Exchange Servers,建议企业可遵循四大方法应对其环境中零时差潜在威胁。
首先,找到所有Exchange Server,确定是否需要修补漏洞。Palo Alto Networks表示,有漏洞的Exchange Server版本包括2013年版本、2016年版本和2019年版本。虽然Exchange 2010不受Exchange 2013/2016/2019年相同的攻击链的攻击,Microsoft仍为此版本的软件发布了CVE-2021-26857的修补。微软也建议更新所有的Exchange Server,并优先考虑对外网络的更新。
其次,修补并保护企业所有的Exchange Server。如果不能立即更新或修补Exchange Server,有一些缓解措施和解决方案可能会减少攻击者利用Exchange Server的机会,例如Exchange Server的入站流量激活了SSL解密,已更新为Threat Prevention Content Pack 8380或更高版本的Palo Alto Networks新时代防火墙(NGFW)可以防止这些漏洞。
第三,确定Exchange Server是否已经受到威胁。这些漏洞已经泛滥成灾,并被积极利用了超过一个月,而Palo Alto Networks Unit 42威胁报告指出Exchange Server攻击的最初行动者使用的战术、技术与程序包括:使用7-Zip将窃取的数据压缩到ZIP文件中以进行渗透、添加并使用Exchange PowerShell管理单元导出邮件信箱数据、使用Nishang Invoke-PowerShellTcpOneLine反向外壳;以及从GitHub下载PowerCat,然后使用它打开与远程服务器的连接。
最后,如果遭受到攻击,请与安全事件应变小组联系。如果Exchange Server已受到威胁,则仍应采取措施来保护它免受上述漏洞的侵害,防止其他攻击者进一步破坏系统。同时企业则应制定事件应变计划。
Palo Alto Networks指出,在全球,预估受到此网络攻击的企业数以万计,更重要的是,在发布漏洞修补之前,攻击者已经充分利用这些漏洞至少两个月的时间。而微软威胁情报中心(MSTIC)将这些攻击以“高可信度”认定为HAFNUIM黑客组织。包括MSTIC和Unit 42在内的多个威胁情报团队也发现多个网络攻击者现正利用这些零时差漏洞作攻击。针对该威胁,企业可遵循上述应变方式,做好安全防范。
(首图来源:shutterstock)