一位安全專家透露,微軟的交換服務器“遭到黑客攻擊的速度快得我們無法計算”。
儘管有補丁,這些威脅在公司安全人員首次發現幾個月後仍然持續存在。
威脅是什麼?
在過去的幾個月裡,Microsoft Exchange 服務器遭受了無數網絡攻擊,其中大多數都是針對零日漏洞的。該公司表示,他們在今年 1 月份發現了 4 個零日漏洞,並於 3 月初緊急發布了緊急補丁。在最危險的系統漏洞中,零日漏洞利用發生在網絡所有者甚至不知道被利用的漏洞存在之前。
微軟確定3月初,“高度確信”中國國家資助的鉿組織對最近的襲擊負責。然而,自本月初以來,已發現至少 10 個其他高級持續威脅針對其係統。
每次,人們當然會擔心攻擊者可能會試圖竊取敏感信息,但也擔心他們可能會試圖發現新的系統漏洞和入口點,為進一步的攻擊鋪平道路。
這最近的報告詳細介紹了一個名為 BlackKingdom 的組織如何利用 ProxyLogon 漏洞等漏洞來利用這些漏洞來部署勒索軟件。據報導,受害者被要求支付 10,000 美元的比特幣,以確保他們的服務器未加密。
尚未應用微軟發布的安全補丁的大公司被認為是大多數此類攻擊的目標。據安全專家稱F-安全,互聯網上可見的交換服務器中只有一半已經應用了補丁,因此許多服務器仍然可以被利用。
專家們怎麼說?
安全界的擔憂似乎很普遍。幾位研究人員最近發布了有關當前威脅數量的更多信息:
全球數以萬計的服務器遭到黑客攻擊。他們被黑客攻擊的速度快得我們無法計算。從全球來看,這是一場正在醞釀的災難
在討論最近的攻擊時,MalwareTechBlog 的安全研究員 Marcus Hutchins 表示:“有人剛剛通過 ProxyLogon 漏洞在所有易受攻擊的 Exchange 服務器上運行此腳本。它聲稱是 BlackKingdom 的‘勒索軟件’,但它似乎不會加密文件,只是向每個目錄發送勒索信息”。
“根據我的蜜罐積壓,同一攻擊者幾天前運行了以下腳本,但失敗了”,他補充道。
微軟採取了什麼措施來解決這個問題?
微軟提醒所有用戶確保他們安裝了最新的更新,旨在修補影響微軟服務器和系統的最嚴重的安全問題。
微軟還採取了一些主動措施來降低攻擊的可能性。最近的一項變化是一鍵式緩解工具,它是作為安全權宜之計而創建的,旨在減少客戶在逐步安裝補丁時受到的損害。該公司還創建了一個自動緩解工具,現在位於其 Defender 防病毒程序中:
Exchange 安全更新仍然是保護您的服務器免受這些攻擊以及早期版本中修復的其他攻擊的最全面的方法。此臨時緩解措施旨在幫助保護客戶,同時他們花時間為其 Exchange 版本實施最新的 Exchange 累積更新。
微軟
如上所述,這些緩解工具充其量只是緩解工具 - 它們減少或最小化現有威脅,並且並不是消除系統持續威脅的萬無一失的方法。這就是為什麼微軟投入大量時間敦促用戶下載帶有相關補丁的更新。
一些安全專家建議使用 Microsoft Exchange 服務器的公司限制對其網絡的開放互聯網訪問。
“他們還應該考慮讓他們的 Exchange 服務器僅供其用戶訪問,而不是整個互聯網 - 例如通過使用 VPN”ESET 惡意軟件研究員 Matthieu Faou 說道。
他繼續說,“Microsoft Exchange 是一個非常複雜的應用程序。因此,未來幾年可能會發現其他缺陷,通過 VPN 保護它可以讓我們有時間在應用程序實際被利用之前對其進行修補”。