根据微软(Microsoft)观察,通过“CVE-2020-0688”漏洞的入侵行为正在增加,而且许多黑客在成功取得Exchange服务器存储权之后,会在服务器上部署“Web Shell”,以拿取数据或是执行其它活动。
微软指出,Exchange服务器一直是主要目标,最常见的手法是发动社交工程或偷渡式下载来获取凭证,其次才是开采Exchange漏洞。然而根据香港ICD新天域互联获悉,最近有许多第二种攻击形式出现,尤其是通过微软在今年2月修补的“CVE-2020-0688”。
具体来说,“CVE-2020-0688”是因安装Exchange服务器时,未能妥善地建立独特金钥,而允许既有用户取得系统管理权限,并自远端执行程式。然而,数据安全服务商Rapid7今年4月发现,全球公开网络上至少还存在35万个Exchange服务器尚未修补,占所有受影响Exchange服务器82.5%。
但目前,微软回应,最普遍的Exchange途径是锁定终端用户发动社交工程或偷渡式下载,再以渐进方式横向移到其它终端,一直到取得Exchange服务器存储权为止。其次才是借助Exchange服务器安全漏洞。
而美国国家安全局(NSA)与澳大利亚国防信号局(ASD)曾在今年4月下旬发出警告,有愈来愈多利用“Web Shell”在渗透网络,并以自远端执行任意的系统命令的情况。
总而言之,为避免沦为Exchange受害者,新天域互联建议用户应该要部署安全更新,启用防毒软体与其它保护机制,检查敏感的角色与群组是否被注册新帐号,也应实施存储控制,并注意活动警报。
