虽然绝大多数本地部署的Exchange Server都已经修补好ProxyLogon漏洞,但微软警告,这不表示事情就做完了,因为许多一开始被黑而不自知的企业,有许多未爆弹得解决,如黑客渗透进企业网络,或是以偷来的帐密黑入其他系统。
三月初微软公布安全公告,警告黑客组织正在开采本地部署Exchange Server上的四个合称为ProxyLogon的零时差漏洞,同时针对Exchange Server 2013、2016和2019发布第一波安全更新。之后就是一连串安全研究,披露针对这组漏洞的威胁,包括勒索软件、挖矿软件,以及人为开采等。安全厂商ESET也指出至少有其他10组黑客组织早已动手。
另一方面,微软也不断做出各种补救措施,包括涵盖面更广的第二波Exchange Server更新,以及一键式工具EOMT(Exchange On-premise Migration Tool)和更新Microsoft Defender Antivirus特征档,而缓解四项漏洞中的CVE-2021-26855。微软上周宣布,经过一番努力,全球92%的Exchange Server已经修补漏洞或获得缓解。
但是根据微软针对本地部署的Exchange Server做的调查,企业仍面临不少威胁。例如许多一开始被黑的企业还没被攻击,像是以人为操作的勒索软件攻击或资料外泄,这表示攻击者可能计划即将展开下一波行动,他们可能采取渗透手法伺机而动,或利用偷来的帐密从其他渠道黑入企业网络。
微软枚举的可能威胁包括Web Shell、人为植入勒索软件,以及窃取登录凭证资料。微软观察到许多未修补的Exchange Server上被创建web shell程序,这种程序可能被黑客当成后门,以利用来窃取邮件、或执行程序代码。在勒索软件方面,安全厂商至少发现有二只勒索软件如DearCry、Black Kingdom(微软称为DoejoCrypt及Pydomer)已被黑客通过开采Exchange漏洞,以植入企业网络环境。
其他已知的威胁,还包括传播挖矿软件的僵尸网络Lemon Duck(黄色小鸭)。
第三项风险是窃取登录凭证。虽然目前登录资料不是黑客首要目标,但是访问Exchange系统能让他们取得重要凭证,用于日后其他攻击。例如他们可能借此取得域名管理员账号,或是具备援权限的服务账号。这样一来,攻击者就能Exchange事件之后许久,在网络环境下发动勒索软件或窃密行动。
为防止可能的后续攻击,微软建议企业应立即查看Exchange Server是否有黑入迹象、web shell,并检查用户及用户群组是否有可疑添加账号,呼吁变更所有用户账号和本地管理员账号密码,而Event ID 1102则意味黑客删除事件log。另外也要留心渗透手法,如RDP、防火墙、WMI订阅及WinRM组态可疑变更、添加的服务、调度或启动对象,或是非微软的RDP及远程访问,以及不明的Exchange邮件转发政策变更等。