前段時(shí)間，微軟發(fā)布了Microsoft Exchange Server的安全更新公告，其中包括了4個(gè)嚴(yán)重安全漏洞。此更新一出，立刻在國內(nèi)外引起軒然大波。

Exchange作為微軟推出的一款流行的電子郵件功能，在各大企業(yè)中都得到了廣泛的應(yīng)用，其漏洞造成的影響范圍自然也不容小覷。不少公司當(dāng)機(jī)立斷安排運(yùn)維人員連夜打補(bǔ)丁，以避免重大損失。

三萬家美國機(jī)構(gòu)被入侵，范圍超過SolarWinds

然而，在有的公司還沒有反應(yīng)過來的時(shí)候，黑客已經(jīng)展開攻勢。在漏洞發(fā)布后的三天內(nèi)黑客對那些未修補(bǔ)的Exchange服務(wù)器進(jìn)行瘋狂攻擊。

據(jù)統(tǒng)計(jì)，已經(jīng)有至少三萬家美國機(jī)構(gòu)——包括大量的小企業(yè)和各級政府被黑客組織利用該漏洞入侵。同時(shí)，來自亞洲和歐洲的數(shù)萬個(gè)組織也受到了影響。

此次黑客攻擊的范圍甚至超過了去年影響最大的SolarWinds事件。

據(jù)美國方面的調(diào)查記錄顯示，最新的黑客攻擊使信用合作社、鄉(xiāng)鎮(zhèn)政府和小型企業(yè)均接入了遠(yuǎn)程接入渠道。并且，黑客在盜取了數(shù)據(jù)之后，還留下了一個(gè)Web Shell以便進(jìn)行下一步指揮和控制。

盡管微軟在發(fā)布Exchange漏洞補(bǔ)丁時(shí)強(qiáng)調(diào)，該漏洞并沒有影響到運(yùn)行其Exchange Online服務(wù)(微軟為企業(yè)提供的云端托管電子郵件)的客戶。但有消息稱，目前受害的絕大多數(shù)組織都在內(nèi)部運(yùn)行某種形式的面向互聯(lián)網(wǎng)的微軟Outlook Web Access(OWA)電子郵件系統(tǒng)與Exchange服務(wù)器串聯(lián)。

并且，微軟最初對于此次攻擊的定義是“有限的、有針對性的攻擊”，然而面對著現(xiàn)在越來越嚴(yán)峻的形勢，微軟卻拒絕對漏洞影響的規(guī)模進(jìn)行置評。

不過微軟表示，正在和政府機(jī)構(gòu)以及安全公司合作，來為客戶提供幫助。

安裝補(bǔ)丁刻不容緩，新免費(fèi)工具幫助自檢

從各方面來看，要根除這些入侵者，需要在全國范圍內(nèi)進(jìn)行前所未有的緊急清理工作。并且受害者移除后門所需的時(shí)間越長，入侵者就越有可能通過安裝更多的后門來進(jìn)行后續(xù)攻擊，也許還會將攻擊范圍擴(kuò)大到受害者網(wǎng)絡(luò)基礎(chǔ)設(shè)施的其他部分。因此，企業(yè)必須盡快安裝補(bǔ)丁，防患于未然。

然而，截至上周五，只有10%的易受攻擊的設(shè)備安裝了補(bǔ)丁。

作為預(yù)防來說，安裝補(bǔ)丁是最有效的方式。但是安裝補(bǔ)丁并不能徹底消除漏洞，并且對于已經(jīng)發(fā)生的攻擊無能為力。因此，美國方面正在想辦法通知受害企業(yè)，并指導(dǎo)他們進(jìn)行黑客追捕。

此外，為了減少損失，微軟發(fā)布了一個(gè)免費(fèi)的新工具及指南，該工具可以通過掃描Exchange服務(wù)器的日志文件，來幫助企業(yè)機(jī)構(gòu)檢測自己是否遭到入侵。

Microsoft安全掃描程序，也稱為Microsoft支持緊急響應(yīng)工具(MSERT)，是一個(gè)獨(dú)立的便攜式反惡意軟件工具，其中包括用于掃描和刪除檢測到的惡意軟件的Microsoft Defender簽名。

此次事件中的Web Shell會被Microsoft Defender使用以下名稱進(jìn)行檢測：

• Exploit:Script/Exmann.A!dha。
• 行為:Win32/Exmann.A.
• 后門:ASP/SecChecker.A的后門
• 后門:JS/Webshell (不是這次攻擊所獨(dú)有)
• Trojan:JS/Chopper!dha(不是這次攻擊所獨(dú)有)
• Behavior:Win32/DumpLsass.A!attk(不是這次攻擊所獨(dú)有)
• 后門:HTML/TwoFaceVar.B (不是這次攻擊所獨(dú)有)

對于沒有使用Microsoft Defender的組織來說，微軟已將更新的簽名添加到其Microsoft Safety Scanner獨(dú)立工具中，以幫助組織找到并刪除這些攻擊中使用的Web Shell。

微軟還發(fā)布了緊急替代緩解指南，供無法應(yīng)用微軟發(fā)布的內(nèi)置獨(dú)立更新的管理員使用。

漏洞仍在發(fā)酵，影響持續(xù)擴(kuò)大

白宮相關(guān)官員表示，在Exchange服務(wù)器上發(fā)現(xiàn)的漏洞是“重大的”，且“可能產(chǎn)生深遠(yuǎn)的影響”。

隨著用來控制郵件服務(wù)器的代碼不斷傳播，預(yù)計(jì)未來還會有其他黑客發(fā)起更多的攻擊。

調(diào)查顯示，該web shell存在于數(shù)千家美國組織的網(wǎng)絡(luò)上，包括銀行、信用社、非營利組織、電信提供商、公共事業(yè)和警察、消防和救援單位。幾乎所有正在運(yùn)行自我托管的Outlook Web Access并且在幾天前還沒有打補(bǔ)丁的企業(yè)機(jī)構(gòu)都遭到了零日攻擊。

還有專家對所需的艱巨的清理工作表示擔(dān)心。

事件還在持續(xù)發(fā)酵中，其最終的影響如何，還有看后續(xù)披露。但有專家預(yù)測，此次事件最終所造成的損失很可能超過SolarWinds。

微軟檢測工具：點(diǎn)擊鏈接獲取