上万企业被攻击!微软邮件服务器漏洞攻击用这4种方法防范

 邮箱网  0条评论  5704次浏览  2021年03月17日 星期三 10:25

分享到: 更多
邮箱网讯 3月17日消息 微软的 Exchange Server(电子邮件服务器)近期被发现了 4 个重大零时差漏洞,攻击者可以长期利用 Exchange Server 漏洞进行攻击。对此,专注网络安全的 Palo Alto Networks 估计,世界上仍然有超过 125,000 台未修补漏洞的 Exchange Servers,建议企业可遵循以下四大方法应对其环境中零时差潜在威胁。

首先,找到所有 Exchange Server,确定是否需要修补漏洞。Palo Alto Networks 表示,有漏洞的 Exchange Server 版本包括 2013 年版本、2016 年版本和 2019 年版本。虽然 Exchange 2010 不受Exchange 2013/2016/2019年相同的攻击链的攻击,Microsoft仍为此版本的软件发布了CVE-2021-26857补丁进行修补。微软也建议更新所有的Exchange Server,并优先考虑对外网络的更新。

其次,修补并保护企业所有的 Exchange Server。如果不能立即更新或修补Exchange Server,有一些缓解措施和解决方案可能会减少攻击者利用 Exchange Server的机会,例如 Exchange Server 的入站流量启用了 SSL 解密,已更新为Threat Prevention Content Pack 8380 或更高版本的 Palo Alto Networks 新世代防火墙(NGFW)可以防止这些漏洞。

第三,确定 Exchange Server 是否已经受到威胁。这些漏洞已经氾滥成灾,并被积极利用了超过一个月,而 Palo Alto Networks Unit 42 威胁报告指出 Exchange Server 攻击的最初行动者使用的战术、技术与程序包括:使用7-Zip将窃取的数据压缩到 ZIP 文件中以进行渗透、添加并使用 Exchange PowerShell 管理单元导出邮件信箱数据、使用 Nishang Invoke-PowerShellTcpOneLine 反向外壳;以及从 GitHub 下载 PowerCat,然后使用它打开与远程服务器的连接。

最后,如果遭受到攻击,请与网络安全应急小组联系。如果 Exchange Server 已受到威胁,则仍应采取措施来保护它免受上述漏洞的侵害,防止其他攻击者进一步破坏系统。同时企业则应提前制定突发事件应急计划。

Palo Alto Networks 指出,在全球,预估受到此网络攻击的企业数以万计,更重要的是,在发布漏洞修补之前,攻击者已经充分利用这些漏洞至少两个月的时间。而微软的威胁情报中心(MSTIC)将这些攻击以「高可信度」认定为 HAFNUIM 骇客组织,他们评估 HAFNUIM 是由一些国家资助营运的组织。包括 MSTIC 和 Unit 42 在内的多个威胁情报团队也发现多个网络攻击者现正利用这些零时差漏洞作攻击。针对此一威胁,企业可遵循上述应变方式,做好安全防范措施。

标签:微软邮件服务器漏洞

我的评论:

请  后发表评论。