信息化觀察網(wǎng)

根據(jù)微軟（Microsoft）觀察，通過“CVE-2020-0688”漏洞的入侵行為正在增加，而且許多黑客在成功取得Exchange服務(wù)器存儲權(quán)之后，會在服務(wù)器上部署“Web Shell”，以拿取數(shù)據(jù)或是執(zhí)行其它活動。

微軟指出，Exchange服務(wù)器一直是主要目標，最常見的手法是發(fā)動社交工程或偷渡式下載來獲取憑證，其次才是開采Exchange漏洞。然而根據(jù)香港ICD新天域互聯(lián)獲悉，最近有許多第二種攻擊形式出現(xiàn)，尤其是通過微軟在今年2月修補的“CVE-2020-0688”。

具體來說，“CVE-2020-0688”是因安裝Exchange服務(wù)器時，未能妥善地建立獨特金鑰，而允許既有用戶取得系統(tǒng)管理權(quán)限，并自遠端執(zhí)行程式。然而，數(shù)據(jù)安全服務(wù)商Rapid7今年4月發(fā)現(xiàn)，全球公開網(wǎng)絡(luò)上至少還存在35萬個Exchange服務(wù)器尚未修補，占所有受影響Exchange服務(wù)器82.5%。

但目前，微軟回應(yīng)，最普遍的Exchange途徑是鎖定終端用戶發(fā)動社交工程或偷渡式下載，再以漸進方式橫向移到其它終端，一直到取得Exchange服務(wù)器存儲權(quán)為止。其次才是借助Exchange服務(wù)器安全漏洞。

而美國國家安全局（NSA）與澳大利亞國防信號局（ASD）曾在今年4月下旬發(fā)出警告，有愈來愈多利用“Web Shell”在滲透網(wǎng)絡(luò)，并以自遠端執(zhí)行任意的系統(tǒng)命令的情況。

總而言之，為避免淪為Exchange受害者，新天域互聯(lián)建議用戶應(yīng)該要部署安全更新，啟用防毒軟體與其它保護機制，檢查敏感的角色與群組是否被注冊新帳號，也應(yīng)實施存儲控制，并注意活動警報。