前段时间,微软发布了MicrosoftExchangeServer的安全更新公告,其中包含4个严重的安全漏洞。此更新一出,立即在国内外引起轩然大波。Exchange作为微软推出的热门邮件功能,已经在各大企业得到广泛应用,其漏洞的影响不容小觑。不少企业第一时间安排运维人员连夜打补丁,避免造成重大损失。美国三万家组织被黑,范围超过SolarWinds。然而,还没等一些企业反应过来,黑客就已经发起了攻势。在漏洞发布后的三天内,黑客们对那些未打补丁的Exchange服务器发起了疯狂的攻击。据统计,至少有3万家美国机构,包括大量小企业和各级政府,被黑客组织利用该漏洞入侵。与此同时,来自亚洲和欧洲的数以万计的组织也受到影响。黑客攻击的范围甚至超过了去年最大的SolarWinds事件。根据美国调查记录,最新的黑客攻击让信用合作社、乡镇政府和小企业能够访问远程访问渠道。而且,黑客窃取数据后,还留下了一个WebShell,用于进一步的指挥和控制。虽然微软在发布Exchange漏洞补丁时强调,但该漏洞并未影响运行其ExchangeOnline服务的客户,该服务是微软为企业提供的云托管电子邮件服务。但消息人士称,目前受害的绝大多数组织都在内部运行某种形式的面向Internet的MicrosoftOutlookWebAccess(OWA)电子邮件系统和Exchange服务器。此外,微软最初将此次攻击定义为“有限且有针对性的攻击”。不过,面对日益严峻的形势,微软拒绝就该漏洞的影响规模发表评论。但微软表示,它正在与政府机构和安全公司合作,以帮助客户。补丁不能延迟,新的免费工具有助于自我检查考虑到所有因素,根除这些入侵者将需要在全国范围内进行前所未有的紧急清理。并且受害者移除后门所需的时间越长,入侵者就越有可能通过安装更多后门进行后续攻击,或许将攻击扩展到受害者网络基础设施的其他部分。因此,企业必须尽快安装补丁,以防患于未然。然而,截至上周五,只有10%的易受攻击设备得到了修补。作为预防,安装补丁是最有效的方法。但是安装补丁并不能完全消除漏洞,而且对于已经发生的攻击也无能为力。因此,美国正想方设法通知受害企业,引导他们对黑客进行追捕。此外,为了减少损失,微软发布了一款免费的新工具和指南,可以帮助组织通过扫描Exchange服务器的日志文件来检测是否遭到入侵。MicrosoftSafetyScanner,也称为MicrosoftSupportEmergencyResponseTool(MSERT),是一种独立的便携式反恶意软件工具,其中包含用于扫描和删除检测到的恶意软件的MicrosoftDefender签名。MicrosoftDefender将检测到此事件中的WebShell,其名称如下:Exploit:Script/Exmann.A!dha。行为:Win32/Exmann.A。后门:ASP/SecChecker.A的后门后门:JS/Webshel??l(非本次攻击独有)特洛伊木马:JS/Chopper!dha(非本次攻击独有)行为:Win32/DumpLsass.A!attk(非本次攻击独有)后门:HTML/TwoFaceVar.B(并非此攻击所独有)对于不使用MicrosoftDefender的组织,Microsoft已将更新的签名添加到其MicrosoftSafetyScanner独立工具中,以帮助组织查找和删除这些攻击中使用的Webshell。微软还为无法应用微软发布的内置独立更新的管理员发布了紧急替代缓解指南。漏洞仍在发酵,影响不断扩大白宫相关官员表示,在Exchange服务器上发现的漏洞“意义重大”,“可能影响深远”。随着用于控制邮件服务器的代码继续传播,预计未来会有更多来自其他黑客的攻击。调查显示,该webshell存在于数千个美国组织的网络中,包括银行、信用合作社、非营利组织、电信提供商、公用事业和警察、消防和救援单位。几乎所有运行自托管OutlookWebAccess且几天前未对其进行修补的企业组织都遭到了零日攻击。专家们对所需的艰巨清理工作表示担忧。该事件还在发酵过程中,最终的影响还要看后续的披露。不过,有专家预测,此次事件最终造成的损失很可能超过SolarWinds。微软检测工具:点击链接获取
