By AAA技術團隊
上週資安界最熱門的新聞之一就屬Exchange Server弱點。根據資安廠商Huntress的調查與微軟公布消息,中國駭客組織Hafnium於近日透過Exchange Server的4項零時差漏洞發動攻擊(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858及CVE-2021-27065)。截至現今已在美國造成至少3萬個組織受害,美國網路安全暨基礎架構安全署(CISA)已發布緊急指令,要求政府單位立即清查內部Exchange Server環境。
【攻擊手法】
資安廠商Volexity最早於今年(2021)1月6日發現攻擊行動,微軟於確認弱點後著手進行修復,並於3月2日釋出修補程式與安全公告,然而攻擊行為仍持續進行與擴散,據推測全球可能有「數十萬台」遭到影響。該攻擊行為首先利用伺服器請求偽造(SSRF)漏洞(CVE-2021-26855),透過傳送特製的HTTP請求進入目標伺服器,接著透過Unified Messaging服務的反序列化漏洞(CVE-2021-26857)以系統權限執行程式碼;再搭配任意檔案寫入漏洞(CVE-2021-26858、CVE-2021-27065),即可於目標Exchange Server寫入程式,而本次資安事件中即在受害主機內發現攻擊者透過上述手法植入Web shell程式,透過該惡意程式,攻擊者可能竊取機敏資料或執行任意程式碼,甚至取得目標主機控制權並進行下一步攻擊。
【如何應對】
本次重大漏洞受影響範圍包含Microsoft Exchange Server 2013、2016及2019,微軟除針對上述四項已被開採漏洞釋出修補程式[註1]。若您的伺服器主機為受害範圍作業系統,應更新微軟釋出之修補程式。此外,由於本次漏洞可注入Web shell,建議應盡速查找伺服器是否有被植入Web shell或其他入侵痕跡。
微軟所發布之更新檔如下:
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
【怎麼確認有沒有被侵入或被植入惡意程式】(工商時間)
透過三甲科技的「資安健診」服務,藉由惡意程式檢視可查看電腦主機是否有潛藏的惡意程式;而封包側錄與設備紀錄檔分析可進一步追蹤惡意黑名單與探查可疑行為,協助於最早時間內挖掘潛藏於環境內的可疑程式。
註1:除了本次4項漏洞,微軟同時也釋出並呼戶安裝另外3項漏洞修補程式(CVE-2021-26412、CVE-2021-26854及CVE-2021-27078),其發布之更新檔如下:
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26412
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26854
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27078
參考資料:
- https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
- https://cyber.dhs.gov/ed/21-02/
- https://www.ithome.com.tw/news/143001
- https://www.ithome.com.tw/news/143056
- https://www.ithome.com.tw/news/143079
- https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=9085
- https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/
- https://blogs.microsoft.com/on-the-issues/2021/03/02/new-nation-state-cyberattacks/