一位安全专家透露,微软的交换服务器“被黑客入侵的速度比我们计算得的快”。
尽管有补丁,威胁仍在公司的安全人员首次确定后的几个月后继续存在。
什么是威胁?
在过去的几个月中,Microsoft Exchange Server一直处于无数网络攻击的接收端,其中大多数是针对零日漏洞的。该公司表示,他们在今年1月发现了四个零日的漏洞,并在3月初赶出了紧急补丁。在您可能拥有的最危险的系统漏洞中,零日的利用发生在网络所有者甚至知道存在的漏洞之前。
微软确定3月初,“高度信心”,中国国家赞助的团体Hafnium负责最近的袭击。但是,自本月初以来,至少发现了针对其系统的其他10个其他高级持续威胁。
每次,当然都有担心攻击者可能试图窃取敏感信息,但他们可能正在尝试发现新的系统漏洞和入口点,以铺平进一步攻击的道路。
这最新报告详细说明了一个名为BlackKingdom的小组,他们如何利用部署勒索软件的脆弱性来详细说明诸如Proxylogon漏洞之类的利用。据报道,受害者被要求支付10,000美元的比特币,以确保其服务器未经加密。
尚未应用微软发布的安全补丁的大型公司被认为是大多数此类攻击的目标。根据安全专家的说法f-secure,仅在Internet上可见的交换服务器中只有一半已经应用了这些补丁,因此仍然已经成熟了。
专家怎么说?
安全界的关注似乎很普遍。几位研究人员最近发布了有关目前存在的庞大威胁的更多信息:
世界各地已有成千上万的服务器被黑客入侵。他们被黑客入侵的速度比我们计算得的快。在全球范围内,这是一场灾难
在讨论最新攻击时,马尔瓦雷echblog的安全研究员马库斯·哈钦斯(Marcus Hutchins)说“有人只是通过Proxylogon漏洞在所有脆弱的交换服务器上运行此脚本。它声称是BlackKingdom'Ransomware',但它似乎并没有加密文件,只需向每个目录中丢弃赎金便条'。
“根据我的Honeypot积压,几天前,同一位攻击者运行了以下脚本,但失败了”,他补充说。
微软为解决问题而做了什么?
微软提醒所有用户,以确保他们安装了最新更新,旨在修补影响微软服务器和系统的最严重安全问题。
微软还采取了一些积极的步骤来减轻攻击的机会。最近的一个更改是一种单击缓解工具,是作为安全性差距而创建的,以减少客户逐渐安装补丁的损坏。该公司还创建了一个自动缓解工具,该工具现在生活在其防御者防病毒计划中:
Exchange安全更新仍然是保护您的服务器免受这些攻击以及其他较早版本中的其他攻击的最全面方法。这种临时缓解措施旨在帮助保护客户,同时花时间为其交换版本实施最新的交换累积更新。
微软
如前所述,这些缓解工具充其量是缓解工具 - 它们减少或最大程度地减少了现有威胁,并且不是消除持续威胁系统的确定方式。这就是为什么Microsoft投入大量时间来敦促用户使用相关补丁下载更新的原因。
一些安全专家建议使用Microsoft Exchange服务器的公司限制对网络的开放式访问。
“例如,他们还应该考虑使其交换服务器仅适用于用户而不是通过使用VPN来访问整个Internet”ESET恶意软件研究人员Matthieu Faou说。
他继续“ Microsoft Exchange是一个非常复杂的应用程序。因此,未来几年可能会发现其他缺陷,并在VPN后面保护它,可以使时间在应用程序实际利用之前对其进行修补”。。