微软：修补完Exchange Server漏洞还不能掉以轻心

虽然绝大多数本地部署的Exchange Server都已经修补好ProxyLogon漏洞，但微软警告，这不表示事情就做完了，因为许多一开始被骇而不自知的企业，有许多未爆弹得解决，如骇客渗透进企业网络，或是以偷来的帐密骇入其他系统。

三月初微软公布安全公告，警告骇客组织Hafnium正在开采本地部署Exchange Server上的四个合称为ProxyLogon的零时差漏洞，同时针对Exchange Server 2013、2016和2019释出第一波安全更新。之后就是一连串安全研究，揭露针对这组漏洞的威胁，包括勒索软件、挖矿软件，以及人为开采等。安全厂商ESET也指出至少有其他10组骇客组织早已动手。

另一方面，微软也不断做出各种补救措施，包括涵盖面更广的第二波Exchange Server更新，以及一键式工具EOMT（Exchange On-premise Migration Tool）和更新Microsoft Defender Antivirus特征档，而缓解四项漏洞中的CVE-2021-26855。微软上周宣布，经过一番努力，全球92%的Exchange Server已经修补漏洞或获得缓解。

但是根据微软针对本地部署的Exchange Server做的调查，企业仍面临不少威胁。例如许多一开始被骇的企业还没被攻击，像是以人为操作的勒索软件攻击或资料外泄，这表示攻击者可能计划即将展开下一波行动，他们可能采取渗透手法伺机而动，或利用偷来的帐密从其他管道骇入企业网络。

微软列举的可能威胁包括Web Shell、人为植入勒索软件，以及窃取登入凭证资料。微软观察到许多未修补的Exchange Server上被建立web shell程式，这种程式可能被骇客当成后门，以便用来窃取邮件、或执行程式码。在勒索软件方面，安全厂商至少发现有二只勒索软件如DearCry、Black Kingdom（微软称为DoejoCrypt及Pydomer）已被骇客透过开采Exchange漏洞，以植入企业网络环境。

其他已知的威胁，还包括散布挖矿软件的僵尸网络Lemon Duck（黄色小鸭）。

第三项风险是窃取登入凭证。虽然目前登入资料不是骇客首要目标，但是存取Exchange系统能让他们取得重要凭证，用于日后其他攻击。例如他们可能借此取得网域管理员账号，或是具备援权限的服务账号。这样一来，攻击者就能Exchange事件之后许久，在网络环境下发动勒索软件或窃密行动。

为防止可能的后续攻击，微软建议企业应立即检视Exchange Server是否有骇入迹象、web shell，并检查用户及用户群组是否有可疑新增账号，呼吁变更所有用户账号和本地管理员账号密码，而 Event ID 1102则意味骇客删除事件log。另外也要留心渗透手法，如RDP、防火墙、WMI订阅及WinRM组态可疑变更、新增的服务、排程或启动物件，或是非微软的RDP及远端存取，以及不明的Exchange邮件转寄政策变更等。