首當(dāng)其沖的行業(yè)部門(mén)是政府/軍事部門(mén) (27%),其次是制造業(yè) (22%) 和軟件廠商 (9%)。

零日漏洞幕后故事

2021 年 3 月 3 日,Microsoft 為其全球最受歡迎的郵件服務(wù)器 Exchange Server 產(chǎn)品發(fā)布了一個(gè)緊急補(bǔ)丁。所有傳入和傳出電子郵件、日歷邀請(qǐng)以及在 Outlook 中訪問(wèn)的幾乎所有內(nèi)容都會(huì)用到 Exchange 服務(wù)器。

1 月份,來(lái)自中國(guó)臺(tái)灣安全公司戴夫寇爾的 Orange Tsai(蔡政達(dá))揭露了兩個(gè)漏洞。為確定這些漏洞的嚴(yán)重程度,Microsoft對(duì)其 Exchange 服務(wù)器作了進(jìn)一步調(diào)查。調(diào)查又發(fā)現(xiàn)五個(gè)關(guān)鍵漏洞。

通過(guò)這些漏洞,攻擊者無(wú)需身份驗(yàn)證或訪問(wèn)個(gè)人電子郵件帳戶即可從 Exchange 服務(wù)器讀取電子郵件。而通過(guò)后面的漏洞鏈接,攻擊者則能夠完全接管郵件服務(wù)器。

一旦攻擊者接管了 Exchange 服務(wù)器,他們就可以將網(wǎng)絡(luò)連接至互聯(lián)網(wǎng)并開(kāi)始遠(yuǎn)程訪問(wèn)。許多 Exchange 服務(wù)器都具有 internet exposer 功能(特別是 Outlook Web Access 功能),并集成到更廣泛的網(wǎng)絡(luò)中,這對(duì)數(shù)百萬(wàn)組織構(gòu)成了嚴(yán)重的安全風(fēng)險(xiǎn)。

Just report a pre-auth RCE chain to the vendor. This might be the most serious RCE I have ever reported! Hope there is no bug collision or duplicate 剛向 Microsoft 報(bào)告了一個(gè)預(yù)認(rèn)證 RCE。這可能是我見(jiàn)過(guò)的最嚴(yán)重的 RCE! 希望沒(méi)有 bug 碰撞或復(fù)制

2021 年 1 月 5 日,Orange Tsai(蔡政達(dá))在推特上公布了預(yù)認(rèn)證遠(yuǎn)程代碼執(zhí)行鏈。

哪些組織面臨風(fēng)險(xiǎn)?

如果企業(yè)或組織的的 Microsoft Exchange 服務(wù)器暴露在互聯(lián)網(wǎng)中,并且沒(méi)有使用最新的補(bǔ)丁程序進(jìn)行更新,也沒(méi)有受到 Check Point 第三方軟件的保護(hù),則應(yīng)該假定該服務(wù)器已全面淪陷。通過(guò)受感染的服務(wù)器,未經(jīng)授權(quán)的攻擊者能夠竊取企業(yè)電子郵件,并以高級(jí)權(quán)限在貴組織內(nèi)執(zhí)行惡意代碼。

技術(shù)解釋

自漏洞披露以來(lái),CPR 陸續(xù)收到了有關(guān)攻擊者身份、動(dòng)機(jī)和近期主要黑客事件的背景的各種問(wèn)題。


就像 Sunburst 攻擊一樣,在這次攻擊中,攻擊者通過(guò)將一個(gè)特別常見(jiàn)的平臺(tái)用作前門(mén),秘密入侵并長(zhǎng)期駐留在網(wǎng)絡(luò)中。好消息是,只有技能精湛且資金充足的攻擊者才能利用前門(mén)潛入全球數(shù)以萬(wàn)計(jì)的組織。盡管這場(chǎng)利用 Exchange 服務(wù)器零日漏洞發(fā)起的攻擊吸引了廣泛關(guān)注,但其攻擊目的以及網(wǎng)絡(luò)犯罪分子想要從網(wǎng)絡(luò)中竊取的內(nèi)容仍不為人所知。面臨風(fēng)險(xiǎn)的組織不僅應(yīng)為其 Exchange 服務(wù)器采取預(yù)防措施,而且還應(yīng)掃描網(wǎng)絡(luò)中的活躍威脅并評(píng)估所有資產(chǎn)。

預(yù)防攻擊,保障安全

Check Point 為預(yù)防攻擊和保障安全提供了以下建議:

IPS

威脅模擬

殺毒


?? ? ???Check Point Harmony 端點(diǎn)(正式名稱為 SandBlast Agent)

分享到

songjy

相關(guān)推薦