【漏洞快補】勒索軟件入侵Microsoft Exchange 微軟籲立即安裝緊急修補程式
微軟上周發出警告指,黑客使用一種名為 DearCry 的勒索軟件,現在將未有修補程式的 Exchange 伺服器作為目標,這些伺服器仍然存在四個漏洞,這些漏洞已被可疑的中國政府黑客利用。微軟再次警告 Exchange 客戶,應使用上周發布的緊急修補程式,以解決影響 Exchange 電郵伺服器的嚴重漏洞。
微軟早在 3 月 2 日時敦促客戶立即安裝修補程式,因為未來數周和數月內,將面對更多的網絡犯罪分子或有國家支持的黑客,利用這些漏洞入侵的風險。微軟指,現時的攻擊是由一個名為 Hafnium 的中國黑客組織所為。安全服務供應商 ESET 就指,至少有 10 個國家支持的黑客組織,正在嘗試利用未有修補程式的 Exchange 伺服器中的漏洞。
微軟稱,勒索軟件攻擊者以一種名為 DearCry 的病毒,試圖破壞 Exchange 伺服器之後,安裝惡意軟件。微軟指已經檢測到病毒,並正阻止一個新的勒索軟件家族入侵未有修補程式的內部 Exchange 伺服器。微軟在推文指,正防範這種被稱為 Ransom:Win32/DoejoCrypt.A 的威脅,面這個威脅也被稱為 DearCry。「Ransom:Win32/DoejoCrypt.A」是微軟的 Defender 殺毒軟件將檢測新威脅的名稱。微軟補充說,使用Microsoft Defender防病毒軟件,並有使用自動更新的客戶,在修補 Exchange 伺服器後,無需採取其他措施。微軟似乎將這組Exchange錯誤視為緊急修復,並在上周提供了進一步的安全更新,以解決不受支援Exchange版本中的漏洞。
國土安全部網絡安全和基礎設施安全局(CISA)上週下令聯邦機構修補 Exchange 漏洞,或切斷易受攻擊的伺服器與互聯網的連接。
現時這個漏洞影響Exchange Server 2013、Exchange Server 2016 和 Exchange Server 2019,但不會影響Exchange Online。
攻擊者是利用這些 Exchange 伺服器漏洞,並部署 Web shell 來竊取數據,並在初始入侵後維持存取伺服器。Web shells是一種小型 script(電腦程式劇本),為遠程訪問受損系統提供了一個基本接口。微軟在其代碼共享網站GitHub上發布了一個 script,讓管理員可以用它來檢查 Exchange 伺服器上是否存在 Web shell。當把攻擊者踢出之前被入侵的系統時,這個 script 可以派上用場。微軟安全研究員 Kevin Beaumont 建議,用戶在完成修補程序後運行 script,以確保 Web shell 被刪除。
MalwareHunterTeam 背後的獨立安全研究人員在 Twitter 帳戶表示,他們留意到加拿大、丹麥、美國、澳大利亞、奧地利的公司受到攻擊,第一批受害者是在 3 月 9 日發現,即在微軟發布修補程式的 7 天後。
CISA強烈建議用戶盡快運行 Test-ProxyLogon.ps1 劇本,以幫助確定他們的系統是否受到損害。