Barracuda 發現針對 Microsoft Exchange 安全漏洞的偵察急升
< 香 港 > — 雲端安全解決方案供應商 Barracuda 近日就有關Microsoft Exchange 事故的研究結果發布博客文章。
Microsoft 於2021年3月2日就 Exchange 伺服器上的多個零日漏洞(Zero-day vulnerabilities)發布帶外(out-of-band)修補桯式填補漏洞(詳情參見附錄)。駭客利用安全漏洞可隨意發送HTTP請求並通過Exchange 伺服器進行身份驗證,獲得存取權限並進行攻擊,包括將webshells納入已暴露的系統中。
自2021年3月初以來,Barracuda研究人員留意到全球有關 Microsoft Exchange 攻擊的偵察有所增加,流量從3月1日的低位開始急升。
Barracuda發現大多數攻擊屬於偵察性質,其中主要是針對未在後端上運行 Exchange 的系統,最常見的五個網址如下:
三個最常被掃描器使用的用戶代理分別是:
ExchangeServicesClient,
python-requests
nmap
Barracuda研究人員的發現與其他安全解決方案供應商公布的發現並無重大差異,但發現有大量的掃描器正使用標準的瀏覽器標題。
綜合而言,自2月24日以來,Barracuda研究員留意到針對這些漏洞的掃描數量正持續上升。
在未來數星期內,預期駭客仍然會繼續進行掃描及尋找可以攻擊的漏洞,攻擊次數會持續上升,然後漸趨平穩及減少。企業可以採用以下安全建議防禦攻擊:
儘快更新Microsoft軟件 — Microsoft在2021年3月9日就Microsoft Exchange伺服器漏洞及修補發表最新安全建議,企業應儘快作出更新並掃描系統偵測漏洞。及時的軟件更新,尤其是針對修補安全漏洞的更新,是保護系統安全的關鍵因素。儘快安裝修補程式可防禦大部分安全漏洞,因為駭客需要時間去研究和部署具針對性的工具。如若漏洞已被利用,企業下一步則應採用更全面的資安事故應變程序。
善用網頁應用程式防火牆(WAF)和WAF即服務 — 這些工具可設置去攔截針對Exchange和VMWare漏洞的掃描和攻擊。
建立零信任網絡存取(ZTNA)權限 — 增加應用程式的存取權限非常重要,企業應審視公司現有的終端安全防護和合規執行措施。ZTNA解決方案確保企業可安全、可靠和快速地存取儲存於內部或雲端上的任何位置和裝置之應用程式和工作負載,有助企業控制風險。
建立偵測和應變方案 — 針對今次事件,掃描webshell是其中一個方案,企業需要部署掃描方案並具備更全面的掃描能力以偵測網絡入侵的跡象。防禦是安全措施的第一步並是重要的一步,可以較少的資源和成本去阻截大部份的攻擊,但企業必須建立多重的安全保護及應變措施,以處理潛在的攻擊。
( 內容由有關方面代表提供, 經編輯後刊登 )