Exchange Server漏洞灾情升温，至少3万美国组织遭骇，CISA发布紧急指令

资安部落格KrebsonSecurity报导，上周爆发的Exchange Server攻击行动已在美国导致大量受害者，至少3万个组织，包括州-及公家机关发现骇入证据。

上周微软发出安全公告，指出一个由中国-支持的骇客组织Hafnium，正在利用Exchange Server的4项零时差漏洞（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858及CVE-2021-27065）骇入本地部署邮件系统的组织，目的在窃取私密邮件。同时也针对受影响的Exchange Server 2013、2016和2019版释出了更新版本。

通报微软的安全公司Volecity分析，Hafnium一旦成功骇入Exchange环境就会植入web shell程式，这种网页程式有如后门，让骇客得以长期从远端控制受害组织的Exchange Server，包括窃取资讯、执行任意程式码、或在内部网络横向移动。

KrebsonSecurity报导，消息公布后网络上针对未修补的Exchange Server攻击行动于数日之间骤增，两名担任美方国安顾问的资安专家指出，美国境内至少有30,000台Exchange服务器被骇，而全球也有“数十万台”遭到感染，每一台服务器大约代表一家组织。

一名研究人员透露，美国境内受害单位涵括州、市-、信用合作社、警察局、电信公司、银行、消防单位及非营利机构。所有受害者都是Exchange Server搭配外部存取的Outlook Web Access（OWA），而且过去几天都未能更新Exchange。

报导引述Velocity总裁Steve Adair指出， 该公司是在1月6日首先发现攻击行动。Adair指出，即使企业在3月4日微软公布安全公告当天修补漏洞，Exchange Server上可能已经有web shell，而如果企业今天还没有更新，有极高机会它的Exchange Server已经被骇。

这不是第一个怀疑这次攻击超过微软“有限目标式攻击”说法的厂商。上周安全厂商Huntress分析检查超过2000台Exchange服务器中，有近400台存在公布的零时差漏洞，另有将近100台可能有漏洞。此外，Huntress也指出，代管服务供应商的Exchange Server发现web shell程式者200台。

Huntress并未公布受害者所在地区，但指出遍及市、郡-、健康照护机构、金融、银行，以及电力公司等，以及中小型企业如小型饭店、冰淇淋厂商、厨具制造商、好几家长照社区等。

安全厂商都指出，以Exchange及设立OWA的用户普及程度来看，受害情形恐怕相当严重。Huntress也怀疑现有端点安全软件都无法防止web shell的植入。

美国网络安全暨基础架构安全署（CISA）根据漏洞风险层级、已实际发生漏洞开采及美国-单位使用Exchange Server的普及程度，上周五发出第2号紧急指令。CISA要求联邦-单位立即清查本地部署的Exchange Server环境，检视是否有入侵指标（Indicators of Compromise，IoC）或异常情形，包括登入凭证外泄、横向移动、渗透机制或其他后续活动，并更新Exchange Server。没能力或没人力检查者，则应立即将Exchange Server从联邦-网域下线。