Exchange Server漏洞余波不断,美国网络安全暨基础架构安全管理局(CISA)继月初后,再度发出补充指令,要求美国联邦政府部门清查Exchange Server有无恶意程序及攻击活动。
CISA指出,合作伙伴厂商已观测到Microsoft Exchange本地部署产品出现开采活动。根据现有攻击、漏洞开采可能性、联邦政府软件使用的普及性、联邦政府信息系统被入侵的可能性,以及入侵造成的影响,CISA判断这对联邦政府构成不可接受的风险,需要紧急行动。
继3月7日对此发出的首次指令后,CISA第二次紧急指令要求运行中或委外托管Exchange Server的单位,应立即用微软开发的工具检查Exchange Server。包括在4月5日中午12:00以前下载并执行Microsoft Safety Scanner(MSERT)全系统扫描,这用于识别及清除恶意webshell。此外,也应在同一天同一时间之前下载并完成执行Test-ProxyLogon.ps1 script程序(如下图),分析Exchange及IIS log,这专门用于识别针对CVE-2021-26855、26857、26858及27065的攻击活动。
CISA要求各部会,不论有无发现入侵或异常,皆应在4月5日中午12:00以前回应执行结果。
同时CISA也要求各部会进行安全强化,包括Exchange Server、操作系统、固件等升级到最新版本,安装防护软件、激活防火墙与log记录,并确实检查账号、角色及群组的权限。CISA要求,各部会应在6月28日中午12:00以前,通报所有安全强化的进度,包括无法完成强化的情形。
虽然微软指出全球本地部署的Exchange Server中,92%已经修补完成,且迄今也没有美国联邦政府被黑入的消息。不过微软仍然提醒修补完漏洞也不能掉以轻心,因为可能还有勒索软件、被植入恶意webshell及利用Exchange Server窃取到的信息入侵其他系统等威胁。
另外,联邦政府也可能无力清查。例如美联社引述消息人士报道,在去年的SolarWinds供应链攻击中,美国航空管理局(FAA)因为技术太老旧,花上好几周才搞清楚有几台系统跑SolarWinds,更别说发现被黑。