微软揭露中国支持的骇客组织正在攻击Exchange Server用户

微软本周指出，一个名为Hafnium的中国骇客组织近日积极活动，透过4项零时差漏洞对本地部署的Exchange Server发动攻击。微软也于昨日修补了这4项漏洞。

微软指出，Hafnium为一国家支持的骇客组织，具有高超的攻击技能和手法，过去该组织常锁定美国企业或组织以窃取资讯，受害产业甚广，包括感染病研究单位、法律事务所、高等教育机构、国防外包商、政策智库和非-单位（NGO）等。虽然Hafnium基地在中国，但是它主要利用在美国租用的虚拟私人服务器（virtual private server）发动攻击。

微软分析Hafnium最近针对Exchange Server的行动，攻击行动主要分成三步骤。首先，它利用窃来的密码或开采Exchanger Server漏洞，冒充合法使用者存取系统。其次它会建立web shell后门程式以远端控制受骇的Exchange Server。最后，Hafnium会利用美国租用的VPS从受害者网络上窃取资料。它窃取的资料一般则传到档案分享网站如MEGA等。

而在这次攻击中，4项Exchange Server零时差漏洞，包括CVE-2021-26855、CVE-2021-26857、CVE-2021-26858及CVE-2021-27065遭到Hafnium串联攻击而得逞。其中CVE-2021-26855为服务器请求伪造（SSRF）漏洞，允许攻击者传送HTTP呼叫而验证进入Exchange Server。CVE-2021-26857为Unified Messaging服务的反序列化漏洞，让攻击者得以在Exchange Server上以系统权限执行程式码。CVE-2021-26858和CVE-2021-27065则为任意档案写入漏洞，可在验证进入后在Exchange写入及程式。

一开始，攻击者会从外部经由传输埠443连线Exchange Server，虽然设立VPN存取Exchange Server可以防范，但如果攻击者已取得用户帐密，或诱使管理员执行恶意档案，骇客就能长驱直入，并启动一系列触发漏洞的行动。

微软是在安全厂商Volexity及Dubex通报而得知Hafnium的攻击行动。

受影响的产品包括Exchange Server 2013、2016和2019。Exchange Server 2010不受影响，但基于安全考量微软也提供更新。Exchange Online则不受影响。

微软昨日也释出了安全公告，修补这4项已被开采的漏洞，以及另外三项和Hafnium攻击不相关的漏洞，包括CVE-2021-26412、CVE-2021-26854及CVE-2021-27078。微软也呼吁用户尽速安装修补程式。