欢迎来到OD体育-OD体育APP下载

od体育苹果版

Exchange Server零时差漏洞攻击Palo Alto Networks提出四招防范

作者:张国荣 发布时间:2022-06-11 11:46点击:

微软 Exchange Server电子邮件服务器近期被发现了 4 个重大零时差漏洞(CVE-2021-26855、CVE-2021-26857、 CVE-2021-26858 及 CVE-2021-27065)。这些漏洞使攻击者可以长期利用Exchange Server漏洞进行攻击。微软威胁情报中心(MSTIC)将这些攻击以“高可信度”认定为HAFNUIM骇客组织,他们评估HAFNUIM是由中国资助并在中国以外营运的组织。包括MSTIC和Unit 42在内的多个威胁情报团队也发现多个网络攻击者现正利用这些零时差漏洞作攻击。

在全球,预估受到此网络攻击的企业数以万计,更重要的是,在发布漏洞修补之前,攻击者已经充分利用这些漏洞至少两个月的时间。根据从Palo Alto Networks Expanse平台收集的遥测数据,Palo Alto Networks估计世界上仍然有超过125,000台未修补漏洞的Exchange Servers,Palo Alto Networks日前也公布目前侦测到的在台湾发现约有950个Exchange Server零时差漏洞威胁。

Palo Alto Networks建议企业遵循以下方法来应对其环境中零时差潜在威胁:

找到所有Exchange Server,确定是否需要修补漏洞:

有漏洞的Exchange Server版本包括2013年版本、2016年版本和2019年版本。虽然Exchange 2010不受Exchange 2013/2016/2019年相同的攻击链的攻击,Microsoft仍为此版本的软件发布了CVE-2021-26857的。Microsoft最近发布了针对较旧也不受支持的Exchange版本的。

微软也建议更新所有的Exchange Server,并优先考虑对外网络的更新。即使企业发现Exchange Server不是用来对外网络为主的路径,如果透过其他外部网络,攻击者仍然可以利用这些漏洞。

修补并保护企业所有的Exchange Server:

如果不能立即更新或修补Exchange Server,有一些可能会减少攻击者利用Exchange Server的机会,这些缓解措施应该只是暂时的,直到漏洞被修补完成。如果Exchange Server的入站流量启用了SSL解密,已更新为或更高版本的Palo Alto Networks可以防止这些漏洞。在Exchange Server上运行的将检测并阻止这些攻击中常用的webshell活动。

初始攻击需要具有与Exchange Server网络埠443的不受信任的连接能力。可以透过限制不受信任的使用者对系统的连接来防止这种情况的发生。或仅允许VPN进行身份验证的使用者连接系统或透过使用防火墙将连接限制设为对特定主机或IP范围的连接来进行。使用此措施仅能防御攻击的初始部分。如果攻击者已经可以连接网络或者可以说服管理员打开恶意文件,则仍然可以触发攻击链的其他部分。

有关使用Palo Alto Networks产品的更多信息,包括订阅安全防火墙,用于自动化的Cortex XSOAR和用于端点保护的Cortex XDR,可以在我们的中找到。

确定Exchange Server是否已经受到威胁:

这些漏洞已经泛滥成灾,并被积极利用了超过一个月,最早的迹象显示这个漏洞可以追溯到1月3日。任何使用这些容易受骇客攻击的组织都必须评估其服务器是否受到威胁。修补系统并不会删除已部署在系统上的任何恶意软件。

Palo Alto Networks Unit 42威胁报告指出Exchange Server攻击的最初行动者使用的战术、技术与程序(TTP;tactics, techniques and procedures)包括:

使用7-Zip将窃取的数据压缩到ZIP文件中以进行渗透。 添加并使用Exchange PowerShell管理单元导出邮件信箱数据。 使用Nishang Invoke-PowerShellTcpOneLine反向外壳。 从GitHub下载PowerCat,然后使用它打开与远程服务器的连接。 如果遭受到攻击,请与资安事件应变小组联系:

如果Exchange Server已受到威胁,则仍应采取措施来保护它免受上述漏洞的侵害,防止其他攻击者进一步破坏系统。Exchange Server版本安装额外的安全更新非常重要,但是这不会删除系统上已经安装的任何恶意程序,也不会驱逐网络中存在的任何威胁。

如果已受到攻击,企业则应制定事件应变计划。Palo Alto Networks Crypsis事件应变小组可以提供帮助:。

 

 

媒体联系:

Libby Chang

Palo Alto Networks

亚太区企业传播经理

电话: +65 6813 2957

E-mail:

新闻稿代发机构:

盛思公关

联络人:罗洁 / 刘宛昀

电话:(02)7713-6610 分机796/656

E-mail: christine.lo@shangs.com.tw / Catherine.liu@shangs.com.tw

 

新闻资讯
相关产品