前段時(shí)間，微軟發(fā)布了Microsoft Exchange Server的安全更新公告，其中包括了4個(gè)嚴(yán)重安全漏洞。此更新一出，立刻在國(guó)內(nèi)外引起軒然大波。

Exchange作為微軟推出的一款流行的電子郵件功能，在各大企業(yè)中都得到了廣泛的應(yīng)用，其漏洞造成的影響范圍自然也不容小覷。不少公司當(dāng)機(jī)立斷安排運(yùn)維人員連夜打補(bǔ)丁，以避免重大損失。

三萬(wàn)家美國(guó)機(jī)構(gòu)被入侵，范圍超過(guò)SolarWinds

然而，在有的公司還沒(méi)有反應(yīng)過(guò)來(lái)的時(shí)候，黑客已經(jīng)展開攻勢(shì)。在漏洞發(fā)布后的三天內(nèi)黑客對(duì)那些未修補(bǔ)的Exchange服務(wù)器進(jìn)行瘋狂攻擊。

據(jù)統(tǒng)計(jì)，已經(jīng)有至少三萬(wàn)家美國(guó)機(jī)構(gòu)——包括大量的小企業(yè)和各級(jí)政府被黑客組織利用該漏洞入侵。同時(shí)，來(lái)自亞洲和歐洲的數(shù)萬(wàn)個(gè)組織也受到了影響。

此次黑客攻擊的范圍甚至超過(guò)了去年影響最大的SolarWinds事件。

據(jù)美國(guó)方面的調(diào)查記錄顯示，最新的黑客攻擊使信用合作社、鄉(xiāng)鎮(zhèn)政府和小型企業(yè)均接入了遠(yuǎn)程接入渠道。并且，黑客在盜取了數(shù)據(jù)之后，還留下了一個(gè)Web Shell以便進(jìn)行下一步指揮和控制。

盡管微軟在發(fā)布Exchange漏洞補(bǔ)丁時(shí)強(qiáng)調(diào)，該漏洞并沒(méi)有影響到運(yùn)行其Exchange Online服務(wù)(微軟為企業(yè)提供的云端托管電子郵件)的客戶。但有消息稱，目前受害的絕大多數(shù)組織都在內(nèi)部運(yùn)行某種形式的面向互聯(lián)網(wǎng)的微軟Outlook Web Access(OWA)電子郵件系統(tǒng)與Exchange服務(wù)器串聯(lián)。

并且，微軟最初對(duì)于此次攻擊的定義是“有限的、有針對(duì)性的攻擊”，然而面對(duì)著現(xiàn)在越來(lái)越嚴(yán)峻的形勢(shì)，微軟卻拒絕對(duì)漏洞影響的規(guī)模進(jìn)行置評(píng)。

不過(guò)微軟表示，正在和政府機(jī)構(gòu)以及安全公司合作，來(lái)為客戶提供幫助。

安裝補(bǔ)丁刻不容緩，新免費(fèi)工具幫助自檢

從各方面來(lái)看，要根除這些入侵者，需要在全國(guó)范圍內(nèi)進(jìn)行前所未有的緊急清理工作。并且受害者移除后門所需的時(shí)間越長(zhǎng)，入侵者就越有可能通過(guò)安裝更多的后門來(lái)進(jìn)行后續(xù)攻擊，也許還會(huì)將攻擊范圍擴(kuò)大到受害者網(wǎng)絡(luò)基礎(chǔ)設(shè)施的其他部分。因此，企業(yè)必須盡快安裝補(bǔ)丁，防患于未然。

然而，截至上周五，只有10%的易受攻擊的設(shè)備安裝了補(bǔ)丁。

作為預(yù)防來(lái)說(shuō)，安裝補(bǔ)丁是最有效的方式。但是安裝補(bǔ)丁并不能徹底消除漏洞，并且對(duì)于已經(jīng)發(fā)生的攻擊無(wú)能為力。因此，美國(guó)方面正在想辦法通知受害企業(yè)，并指導(dǎo)他們進(jìn)行黑客追捕。

此外，為了減少損失，微軟發(fā)布了一個(gè)免費(fèi)的新工具及指南，該工具可以通過(guò)掃描Exchange服務(wù)器的日志文件，來(lái)幫助企業(yè)機(jī)構(gòu)檢測(cè)自己是否遭到入侵。

Microsoft安全掃描程序，也稱為Microsoft支持緊急響應(yīng)工具(MSERT)，是一個(gè)獨(dú)立的便攜式反惡意軟件工具，其中包括用于掃描和刪除檢測(cè)到的惡意軟件的Microsoft Defender簽名。

此次事件中的Web Shell會(huì)被Microsoft Defender使用以下名稱進(jìn)行檢測(cè)：

• Exploit:Script/Exmann.A!dha。
• 行為:Win32/Exmann.A.
• 后門:ASP/SecChecker.A的后門
• 后門:JS/Webshell (不是這次攻擊所獨(dú)有)
• Trojan:JS/Chopper!dha(不是這次攻擊所獨(dú)有)
• Behavior:Win32/DumpLsass.A!attk(不是這次攻擊所獨(dú)有)
• 后門:HTML/TwoFaceVar.B (不是這次攻擊所獨(dú)有)

對(duì)于沒(méi)有使用Microsoft Defender的組織來(lái)說(shuō)，微軟已將更新的簽名添加到其Microsoft Safety Scanner獨(dú)立工具中，以幫助組織找到并刪除這些攻擊中使用的Web Shell。

微軟還發(fā)布了緊急替代緩解指南，供無(wú)法應(yīng)用微軟發(fā)布的內(nèi)置獨(dú)立更新的管理員使用。

漏洞仍在發(fā)酵，影響持續(xù)擴(kuò)大

白宮相關(guān)官員表示，在Exchange服務(wù)器上發(fā)現(xiàn)的漏洞是“重大的”，且“可能產(chǎn)生深遠(yuǎn)的影響”。

隨著用來(lái)控制郵件服務(wù)器的代碼不斷傳播，預(yù)計(jì)未來(lái)還會(huì)有其他黑客發(fā)起更多的攻擊。

調(diào)查顯示，該web shell存在于數(shù)千家美國(guó)組織的網(wǎng)絡(luò)上，包括銀行、信用社、非營(yíng)利組織、電信提供商、公共事業(yè)和警察、消防和救援單位。幾乎所有正在運(yùn)行自我托管的Outlook Web Access并且在幾天前還沒(méi)有打補(bǔ)丁的企業(yè)機(jī)構(gòu)都遭到了零日攻擊。

還有專家對(duì)所需的艱巨的清理工作表示擔(dān)心。

事件還在持續(xù)發(fā)酵中，其最終的影響如何，還有看后續(xù)披露。但有專家預(yù)測(cè)，此次事件最終所造成的損失很可能超過(guò)SolarWinds。

微軟檢測(cè)工具：點(diǎn)擊鏈接獲取