资安厂商 Check Point 近期揭露 Microsoft Exchange Server 零时差漏洞的相关攻击数据。从数据中可以发现,自 Exchange Server 漏洞曝光后,骇客与资安人员之间展开了一场激烈的攻防战,全球资安专家们正努力採取大规模预防措施,而骇客们则持续试图利用 Microsoft Exchange 中的远端程式码执行漏洞(RCE)。
在 Check Point 的数据中显示,当前遭受最多攻击的国家为美国 (17%),其次是德国(6%)、英国(5%)及荷兰(5%);首当其冲的行业分别为政府及军事部门(27%)、製造业(15%)与金融业(14%)。
事实上,Exchange Server 零时差漏洞,原先是由来自台湾资安公司戴夫寇尔于 1 月份时揭露了 2 个漏洞,为确定这些漏洞的严重程度,微软对 Exchange Server 作了进一步调查,随后又发现 5 个重大漏洞。透过这些漏洞,攻击者无需经过身份验证或登入帐户,即可从 Exchange Server 读取电子邮件,若进一步使用漏洞串联(Vulnerability Chaining),攻击者则能够完全接管电子邮件伺服器。
一旦攻击者接管了 Exchange Server,骇客就可以连网并进行远端存取,因为许多 Exchange Server 都具有网路暴露(Internet Exposer)功能,特别是 Outlook 网页版,并整合至更广泛的网路之中,这对数百万企业构成了严重的安全风险。
而微软已在 3 月 3 日时,就针对 Exchange Server 释出了一个紧急修补程式。只不过仍有部分企业可有能面临攻击的风险;Check Point 指出,若企业的微软 Exchange Server 有连接至网路、未更新至最新的修补程式,且没有採用第三方软体厂商的保护,即可假定该伺服器已遭受攻击。受感染的伺服器将允许未经授权的攻击者窃取企业的电子邮件,并以系统权限在企业内执行恶意程式码。
