新科技速遞
雖然3月初,Microsoft就Exchange 伺服器上多個零日漏洞(Zero-day vulnerabilities)發佈填補漏洞的修補程式;Exchange 事故愈演愈烈。
2月台灣網絡保安研究團隊戴夫寇爾(DEVCORE)發現漏洞,與接觸後Microsoft,黑客已迅速網上活動,漏洞公佈前,已經有不少黑客在網上,售入侵和攻擊的工具,短期內相信Exchange伺服器仍會是攻擊主要對象。
據報Microsoft正調查DEVCORE是否外洩有關漏洞,導致黑客在修補程式出現前,已乘虛而入。DEVCORE表示內部調查後,並無任何發現。
據Palo Alto Networks的網絡威脅研究小組Unit 42估計,黑客在有關漏洞公佈前,Microsoft推出修正軟件前整整2個月,一直在展開攻擊,即使企業安裝Microsoft修補程式,也不一定是安全,可能早已被入侵,必須檢視是否已遭入侵。
Unit 42估計全球超過12萬部Exchange伺服器,未有填補漏洞。而Check Point Research公佈發現有數百次嘗試針對全球組織的漏洞攻擊,與Microsoft Exchange Server 的4個零日漏洞有關。
Barracuda 近日就有關問題發文,指黑客可利用安全漏洞,隨意發送HTTP 請求並通過 Exchange伺服器進行身份驗證,獲得存取權限進行攻擊,包括植入 Webshells在系統的Http session執行。
中國製造循環再用
Webshell是以Script執行的小程式,可以用PHP、ASP、Perl或JSP撰寫,黑客可植入Webshell在Exchange伺服器,以自遠端存取或執行伺服器上的功能;Webshell優點是常駐在伺服器,成為持續攻擊受害系統入口。然而,惡意Webshell不是執行檔,只屬Script檔,所以掃毒程式往往找不出來。
Webshell後門文件往往是與伺服器WEB目錄下,與正常網頁檔混合一起,黑客通過Web的訪問執行Webshell進行上傳下載文件、訪問數據庫、執行系統命令等高危操作,以非法控制網站伺服器,Webshell本身執行權限不高,勝在隱蔽性夠強,可作為入侵第一步。
Unit 42指有關的漏洞被中國國家支持的黑客組織Hafnium,製作了一款ASPX的Webshell,並植入Exchange的Offline Address Book(OAB)。上述據稱是「中國製造」的Webshell,名為China Chopper。不過FireEye自從2013年,就已發現和分析China Chopper,自始變成了黑客流行工具,Unit 42研究員Jeff White亦製作工具掃描,發現不少Exchange已遭植入了Webshell。
羅兵咸永道香港網絡安全及私隱服務合夥人顏國定表示,本港和澳門Exchange受攻擊的情況相當嚴重,主要都是植入Webshell作後門,不過部分亦利用Exchange作為攻擊入口,發動APT攻擊。
「本港有數家機構遭入侵,機構須儘快修復,以免成為下一家受害者;攻擊Exchange弱點的程式,甚至可在GitHub公開下載。攻擊量上升,亦毫不足怪。」
顏國定指出。羅兵咸永道檢查多家機構的Exchange伺服器,其中至少150部發現有漏洞存在。
攻擊量大幅增長
自2021年3月初以來,Barracuda研究人員留意到,偵察到全球Exchange的 攻擊增長,流量從 3月1日低位開始急升。
Barracuda 發現大多數攻擊屬於偵察性質,主要是刺探後端是否正運行Exchange,結果不少未在後端上運行Exchange系統,都受到刺探。
自從2月24日以來,Barracuda 研究人員留意針對漏洞掃描,數量持續上升。預期未來數周,黑客繼續掃描及尋找可攻擊漏洞,攻擊次數會持續上升。
所以企業應儘快更新Microsoft軟件,並掃描系統偵測漏洞。安裝修補防禦安全漏洞,黑客亦需時研究部署新工具。如果趕不及安裝,也可考慮以Web應用防火牆(Web Application Firewall, WAF)和WAF即服務,攔截針對Exchange 和VMWare漏洞的掃描和攻擊。另一個方法是建立「零信任網絡存取」(ZTNA)權限,加強控制應用的存取權限,企業應審視公司現有的終端安全防護和合規的執行措施。
ZTNA方案能夠確保企業可安全、可靠和快速地存取儲存於內部或雲端上的任何位置和裝置之應用,控制風險建立偵測和應變方案 。
掃描Webshell是其中一個方案,以偵測網絡任何入侵跡象,如有來歷不明的Webshell,意味系統已經遭入侵。今次事件說明WAF防火牆,仍具重要防禦價值,單靠傳統防火牆,任何開放HTTP系統,可能也不安全。