繼當(dāng)前影響 Microsoft Exchange Server 的四個零日漏洞被披露之后，Check Point Research （CPR） 公布了其對這些漏洞利用嘗試的最新全球跟蹤觀察結(jié)果。

CPR 觀察到數(shù)百次針對全球組織的漏洞利用嘗試。

僅在過去的 72 小時內(nèi)，CPR 觀察到的漏洞利用嘗試次數(shù)便增加了 5 倍以上。

遭受攻擊最多的國家是美國 （21％），其次是荷蘭 （12％） 和土耳其 （12％）。

首當(dāng)其沖的行業(yè)部門是政府／軍事部門 （27％），其次是制造業(yè) （22％） 和軟件廠商 （9％）。

自近日Microsoft Exchange 服務(wù)器被曝出 漏洞以來，黑客與安全專業(yè)人員之間便展開了一場全面的較量。全球各地的專家們正在采取大規(guī)模預(yù)防措施，努力趕在黑客們的前面，后者正抓緊謀劃攻擊手段，以圖成功利用 Microsoft Exchange 中的遠(yuǎn)程代碼執(zhí)行漏洞。

CPR 概況介紹了已披露的漏洞和目標(biāo)組織（按國家或地區(qū)和行業(yè)劃分），并提出了預(yù)防攻擊的建議（即將公布）。

當(dāng)前的攻擊嘗試數(shù)量

遭受攻擊最多的國家是美國 （21％），其次是荷蘭 （12％） 和土耳其 （12％）。

首當(dāng)其沖的行業(yè)部門是政府／軍事部門 （27％），其次是制造業(yè) （22％） 和軟件廠商 （9％）。

零日漏洞幕后故事

2021 年 3 月 3 日，Microsoft 為其全球最受歡迎的郵件服務(wù)器 Exchange Server 產(chǎn)品發(fā)布了一個緊急補丁。所有傳入和傳出電子郵件、日歷邀請以及在 Outlook 中訪問的幾乎所有內(nèi)容都會用到 Exchange 服務(wù)器。

1 月份，來自中國臺灣安全公司戴夫寇爾的 Orange Tsai（蔡政達(dá)）揭露了兩個漏洞。為確定這些漏洞的嚴(yán)重程度，Microsoft對其 Exchange 服務(wù)器作了進(jìn)一步調(diào)查。調(diào)查又發(fā)現(xiàn)五個關(guān)鍵漏洞。

通過這些漏洞，攻擊者無需身份驗證或訪問個人電子郵件帳戶即可從 Exchange 服務(wù)器讀取電子郵件。而通過后面的漏洞鏈接，攻擊者則能夠完全接管郵件服務(wù)器。

一旦攻擊者接管了 Exchange 服務(wù)器，他們就可以將網(wǎng)絡(luò)連接至互聯(lián)網(wǎng)并開始遠(yuǎn)程訪問。許多 Exchange 服務(wù)器都具有 internet exposer 功能（特別是 Outlook Web Access 功能），并集成到更廣泛的網(wǎng)絡(luò)中，這對數(shù)百萬組織構(gòu)成了嚴(yán)重的安全風(fēng)險。

2021 年 1 月 5 日， Orange Tsai （蔡政達(dá)）在推特上公布了預(yù)認(rèn)證遠(yuǎn)程代碼執(zhí)行鏈。

哪些組織面臨風(fēng)險？

如果企業(yè)或組織的的 Microsoft Exchange 服務(wù)器暴露在互聯(lián)網(wǎng)中，并且沒有使用最新的補丁程序進(jìn)行更新，也沒有受到 Check Point 第三方軟件的保護(hù)，則應(yīng)該假定該服務(wù)器已全面淪陷。通過受感染的服務(wù)器，未經(jīng)授權(quán)的攻擊者能夠竊取企業(yè)電子郵件，并以高級權(quán)限在貴組織內(nèi)執(zhí)行惡意代碼。

技術(shù)解釋

CVE－2021－26855 — Exchange 中的一個服務(wù)器端請求偽造 （SSRF） 漏洞，允許攻擊者發(fā)送任意 HTTP 請求并通過 Exchange 服務(wù)器進(jìn)行身份驗證。

CVE－2021－26857 — 統(tǒng)一消息服務(wù)中不安全的反序列化漏洞。不安全的反序列化是指程序?qū)Σ皇苄湃蔚挠脩艨煽財?shù)據(jù)進(jìn)行反序列化。利用此漏洞，HAFNIUM 能夠在 Exchange 服務(wù)器上以系統(tǒng)身份運行代碼。但需要擁有管理員權(quán)限或通過其他漏洞才能利用該漏洞。

CVE－2021－26858 — Exchange 中的身份驗證后任意文件寫入漏洞。如果 HAFNIUM 可以通過 Exchange 服務(wù)器進(jìn)行身份驗證，則可以使用此漏洞將文件寫入服務(wù)器上的任何路徑。它們可以通過利用 CVE－2021－26855 SSRF 漏洞或破壞合法管理員的憑證進(jìn)行身份驗證。

CVE－2021－27065 — Exchange 中的身份驗證后任意文件寫入漏洞。如果 HAFNIUM 可以通過 Exchange 服務(wù)器進(jìn)行身份驗證，則可以使用此漏洞將文件寫入服務(wù)器上的任何路徑。它們可以通過利用 CVE－2021－26855 SSRF 漏洞或破壞合法管理員的憑證進(jìn)行身份驗證。

自漏洞披露以來，CPR 陸續(xù)收到了有關(guān)攻擊者身份、動機和近期主要黑客事件的背景的各種問題。

就像 Sunburst 攻擊一樣，在這次攻擊中，攻擊者通過將一個特別常見的平臺用作前門，秘密入侵并長期駐留在網(wǎng)絡(luò)中。好消息是，只有技能精湛且資金充足的攻擊者才能利用前門潛入全球數(shù)以萬計的組織。盡管這場利用 Exchange 服務(wù)器零日漏洞發(fā)起的攻擊吸引了廣泛關(guān)注，但其攻擊目的以及網(wǎng)絡(luò)犯罪分子想要從網(wǎng)絡(luò)中竊取的內(nèi)容仍不為人所知。面臨風(fēng)險的組織不僅應(yīng)為其 Exchange 服務(wù)器采取預(yù)防措施，而且還應(yīng)掃描網(wǎng)絡(luò)中的活躍威脅并評估所有資產(chǎn)。

預(yù)防攻擊，保障安全

Check Point 為預(yù)防攻擊和保障安全提供了以下建議：

補丁程序 — 立即將所有 Microsoft Exchange 服務(wù)器更新為 Microsoft 提供的最新補丁版本。此更新不會自動進(jìn)行，需要您手動執(zhí)行。

威脅防護(hù)措施 — Check Point 通過下列威脅防護(hù)措施，為 Microsoft 報告的漏洞提供了全面的安全防護(hù)：

IPS

o CVE－2021－26855 － CPAI－2021－0099

o CVE－2021－26857 － CPAI－2021－0107

o CVE－2021－26858 － CPAI－2021－0107

o CVE－2021－27065 － CPAI－2021－0099

威脅模擬

o Trojan．WinsCVE－2021－27065．A

殺毒

o HAFNIUM．TC．XXX

o Trojan．Win32．Hafnium．TC．XXX

Check Point Harmony 端點 （正式名稱為 SandBlast Agent）

o Behavioral．Win．SuspExchange．A

o Behavioral．Win．SuspExchange．B

o Behavioral．Win．SuspExchange．C

o Behavioral．Win．SuspExchange．D