Check Point披露近日Microsoft Exchange Server零时差漏洞的相关攻击数据,并预告即将公布防范建议。自漏洞曝光后,全球安全专家们正努力采取大规模预防措施,而黑客们则持续试图利用Microsoft Exchange中的远程程序代码执行漏洞(RCE)。
Check Point数据显示,当前遭受最多攻击的国家为美国 (17%),其次是德国(6%)、英国(5%)及荷兰(5%);首当其冲的行业分别为政府及军事部门(27%)、制造业(15%)与金融业(14%)。
微软在3月3日针对Exchange Server发布了一个紧急修补程序。Exchange Server为全球最受欢迎的电子邮件服务器,在收发电子邮件、会议邀请以及任何使用Outlook的过程皆会使用到。
来自台湾安全公司戴夫寇尔(DEVCORE)的蔡政达于一月份披露了两个漏洞,为确定这些漏洞的严重程度,微软对Exchange Server作了进一步调查,随后又发现五个重大漏洞。通过这些漏洞,攻击者无需经过身份验证或登录账户,即可从Exchange Server读取电子邮件,若进一步使用漏洞串联(Vulnerability Chaining),攻击者则能够完全接管电子邮件服务器。
一旦攻击者接管了Exchange Server,他们就可以联网并进行远程访问,因为许多Exchange Server都具有网络暴露(internet exposer)功能,特别是Outlook网页版,并集成至更广泛的网络之中,这对数百万企业构成了严重的安全风险。
若企业的微软Exchange Server有连接至网络、未更新至最新的修补程序,且没有采用第三方软件厂商如Check Point的保护,即可假定该服务器已遭受攻击。受感染的服务器将允许未经授权的攻击者窃取企业的电子邮件,并以系统权限在企业内执行恶意程序代码。
自漏洞被披露以来,Check Point Research陆续收到了许多有关攻击者身份、动机和近期主要黑客事件背景问题。如同先前的Sunburst攻击,在这次攻击中,攻击者将一个常见的平台作为入口,秘密入侵并长期停留在网络中,而好消息是,只有技术高超且资金充足的攻击者才能利用前门潜入全球数以万计的企业。
尽管这场利用Exchange Server零时差漏洞发起的攻击引起了广泛关注,但其攻击目的以及黑客试图窃取的内容仍不为人所知。面临风险的企业不仅应为其Exchange Server采取预防措施,更应全面查看企业网络中的活跃威胁及所有资产。Check Point建议立即手动更新微软Exchange Server至微软提供的最新修补版本,并采取威胁防护措施。