繼當(dāng)前影響 Microsoft Exchange Server 的四個(gè)零日漏洞被披露之后，Check Point Research （CPR） 公布了其對(duì)這些漏洞利用嘗試的最新全球跟蹤觀察結(jié)果。

CPR 觀察到數(shù)百次針對(duì)全球組織的漏洞利用嘗試。

僅在過(guò)去的 72 小時(shí)內(nèi)，CPR 觀察到的漏洞利用嘗試次數(shù)便增加了 5 倍以上。

遭受攻擊最多的國(guó)家是美國(guó) （21％），其次是荷蘭 （12％） 和土耳其 （12％）。

首當(dāng)其沖的行業(yè)部門(mén)是政府／軍事部門(mén) （27％），其次是制造業(yè) （22％） 和軟件廠(chǎng)商 （9％）。

自近日Microsoft Exchange 服務(wù)器被曝出 漏洞以來(lái)，黑客與安全專(zhuān)業(yè)人員之間便展開(kāi)了一場(chǎng)全面的較量。全球各地的專(zhuān)家們正在采取大規(guī)模預(yù)防措施，努力趕在黑客們的前面，后者正抓緊謀劃攻擊手段，以圖成功利用 Microsoft Exchange 中的遠(yuǎn)程代碼執(zhí)行漏洞。

CPR 概況介紹了已披露的漏洞和目標(biāo)組織（按國(guó)家或地區(qū)和行業(yè)劃分），并提出了預(yù)防攻擊的建議（即將公布）。

當(dāng)前的攻擊嘗試數(shù)量

遭受攻擊最多的國(guó)家是美國(guó) （21％），其次是荷蘭 （12％） 和土耳其 （12％）。

首當(dāng)其沖的行業(yè)部門(mén)是政府／軍事部門(mén) （27％），其次是制造業(yè) （22％） 和軟件廠(chǎng)商 （9％）。

零日漏洞幕后故事

2021 年 3 月 3 日，Microsoft 為其全球最受歡迎的郵件服務(wù)器 Exchange Server 產(chǎn)品發(fā)布了一個(gè)緊急補(bǔ)丁。所有傳入和傳出電子郵件、日歷邀請(qǐng)以及在 Outlook 中訪(fǎng)問(wèn)的幾乎所有內(nèi)容都會(huì)用到 Exchange 服務(wù)器。

1 月份，來(lái)自中國(guó)臺(tái)灣安全公司戴夫寇爾的 Orange Tsai（蔡政達(dá)）揭露了兩個(gè)漏洞。為確定這些漏洞的嚴(yán)重程度，Microsoft對(duì)其 Exchange 服務(wù)器作了進(jìn)一步調(diào)查。調(diào)查又發(fā)現(xiàn)五個(gè)關(guān)鍵漏洞。

通過(guò)這些漏洞，攻擊者無(wú)需身份驗(yàn)證或訪(fǎng)問(wèn)個(gè)人電子郵件帳戶(hù)即可從 Exchange 服務(wù)器讀取電子郵件。而通過(guò)后面的漏洞鏈接，攻擊者則能夠完全接管郵件服務(wù)器。

一旦攻擊者接管了 Exchange 服務(wù)器，他們就可以將網(wǎng)絡(luò)連接至互聯(lián)網(wǎng)并開(kāi)始遠(yuǎn)程訪(fǎng)問(wèn)。許多 Exchange 服務(wù)器都具有 internet exposer 功能（特別是 Outlook Web Access 功能），并集成到更廣泛的網(wǎng)絡(luò)中，這對(duì)數(shù)百萬(wàn)組織構(gòu)成了嚴(yán)重的安全風(fēng)險(xiǎn)。

2021 年 1 月 5 日， Orange Tsai （蔡政達(dá)）在推特上公布了預(yù)認(rèn)證遠(yuǎn)程代碼執(zhí)行鏈。

哪些組織面臨風(fēng)險(xiǎn)？

如果企業(yè)或組織的的 Microsoft Exchange 服務(wù)器暴露在互聯(lián)網(wǎng)中，并且沒(méi)有使用最新的補(bǔ)丁程序進(jìn)行更新，也沒(méi)有受到 Check Point 第三方軟件的保護(hù)，則應(yīng)該假定該服務(wù)器已全面淪陷。通過(guò)受感染的服務(wù)器，未經(jīng)授權(quán)的攻擊者能夠竊取企業(yè)電子郵件，并以高級(jí)權(quán)限在貴組織內(nèi)執(zhí)行惡意代碼。

技術(shù)解釋

CVE－2021－26855 — Exchange 中的一個(gè)服務(wù)器端請(qǐng)求偽造 （SSRF） 漏洞，允許攻擊者發(fā)送任意 HTTP 請(qǐng)求并通過(guò) Exchange 服務(wù)器進(jìn)行身份驗(yàn)證。

CVE－2021－26857 — 統(tǒng)一消息服務(wù)中不安全的反序列化漏洞。不安全的反序列化是指程序?qū)Σ皇苄湃蔚挠脩?hù)可控?cái)?shù)據(jù)進(jìn)行反序列化。利用此漏洞，HAFNIUM 能夠在 Exchange 服務(wù)器上以系統(tǒng)身份運(yùn)行代碼。但需要擁有管理員權(quán)限或通過(guò)其他漏洞才能利用該漏洞。

CVE－2021－26858 — Exchange 中的身份驗(yàn)證后任意文件寫(xiě)入漏洞。如果 HAFNIUM 可以通過(guò) Exchange 服務(wù)器進(jìn)行身份驗(yàn)證，則可以使用此漏洞將文件寫(xiě)入服務(wù)器上的任何路徑。它們可以通過(guò)利用 CVE－2021－26855 SSRF 漏洞或破壞合法管理員的憑證進(jìn)行身份驗(yàn)證。

CVE－2021－27065 — Exchange 中的身份驗(yàn)證后任意文件寫(xiě)入漏洞。如果 HAFNIUM 可以通過(guò) Exchange 服務(wù)器進(jìn)行身份驗(yàn)證，則可以使用此漏洞將文件寫(xiě)入服務(wù)器上的任何路徑。它們可以通過(guò)利用 CVE－2021－26855 SSRF 漏洞或破壞合法管理員的憑證進(jìn)行身份驗(yàn)證。

自漏洞披露以來(lái)，CPR 陸續(xù)收到了有關(guān)攻擊者身份、動(dòng)機(jī)和近期主要黑客事件的背景的各種問(wèn)題。

就像 Sunburst 攻擊一樣，在這次攻擊中，攻擊者通過(guò)將一個(gè)特別常見(jiàn)的平臺(tái)用作前門(mén)，秘密入侵并長(zhǎng)期駐留在網(wǎng)絡(luò)中。好消息是，只有技能精湛且資金充足的攻擊者才能利用前門(mén)潛入全球數(shù)以萬(wàn)計(jì)的組織。盡管這場(chǎng)利用 Exchange 服務(wù)器零日漏洞發(fā)起的攻擊吸引了廣泛關(guān)注，但其攻擊目的以及網(wǎng)絡(luò)犯罪分子想要從網(wǎng)絡(luò)中竊取的內(nèi)容仍不為人所知。面臨風(fēng)險(xiǎn)的組織不僅應(yīng)為其 Exchange 服務(wù)器采取預(yù)防措施，而且還應(yīng)掃描網(wǎng)絡(luò)中的活躍威脅并評(píng)估所有資產(chǎn)。

預(yù)防攻擊，保障安全

Check Point 為預(yù)防攻擊和保障安全提供了以下建議：

補(bǔ)丁程序 — 立即將所有 Microsoft Exchange 服務(wù)器更新為 Microsoft 提供的最新補(bǔ)丁版本。此更新不會(huì)自動(dòng)進(jìn)行，需要您手動(dòng)執(zhí)行。

威脅防護(hù)措施 — Check Point 通過(guò)下列威脅防護(hù)措施，為 Microsoft 報(bào)告的漏洞提供了全面的安全防護(hù)：

IPS

o CVE－2021－26855 － CPAI－2021－0099

o CVE－2021－26857 － CPAI－2021－0107

o CVE－2021－26858 － CPAI－2021－0107

o CVE－2021－27065 － CPAI－2021－0099

威脅模擬

o Trojan．WinsCVE－2021－27065．A

殺毒

o HAFNIUM．TC．XXX

o Trojan．Win32．Hafnium．TC．XXX

Check Point Harmony 端點(diǎn) （正式名稱(chēng)為 SandBlast Agent）

o Behavioral．Win．SuspExchange．A

o Behavioral．Win．SuspExchange．B

o Behavioral．Win．SuspExchange．C

o Behavioral．Win．SuspExchange．D