Exchange Server零时差漏洞灾情，可能比微软想像中严重

本周稍早微软公布中国支持的骇客组织Hafnium对少数特定的Exchange Server客户发动攻击。安全厂商相信，实际情况可能更严重，至少有数百台Exchange系统内发现恶意程式。

微软指出，中国-支持的Hafnium技能高强且手法复杂，它在美国地区的攻击是利用租赁的虚拟私人服务器（virtual private server）为据点，串联利用Exchange Server 4项零时差漏洞（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858及CVE-2021-27065）骇入受害者系统，并植入web shell作为长期控制系统的后门，且已经不是第一次发动攻击。Hafnium这波“有限精准”的攻击主要对象为感染病研究单位、高等教育机构、国防外包商、政策智库和非-单位（NGO）等组织。

但是安全厂商Huntress分析实际的Exchange系统中，发现攻击目标不限于这些单位。Huntress检查的超过2000台Exchange服务器中，有近400台存在公布的零时差漏洞，另有将近100台可能有漏洞。此外，在该公司代管服务伙伴中，有200台服务器已经在其资料夹（C:\\inetpub\\wwwroot\\aspnet_client\\system_web）中发现web shell程式。

Huntress指出，这些Exchange Server用户和微软描述的受害单位并不一致。虽然受害单位包括许多市、郡-、健康照护机构、金融、银行，以及电力公司等，但另一些则是小型饭店、冰淇淋厂商、厨具制造商、好几家长照社区等并没有这么“高上大”的中型企业。

而在400台有漏洞的服务器中，Huntress研究人员也发现了超过350个web shell，有的机器还不只1个web shell，可能是自动化部署，或是攻击者之间未协调好的结果。

值得注意的是，这些端点都安装有防毒或端点侦测回应（endpoint detection and response, EDR）产品，但是这些web shell似乎有方法回避大部分安全产品侦测。此外，根据安全厂商界的诱捕系统（honeypot）也遭到攻击来看，显示攻击者是在扫描网络，寻找最容易下手的目标。

Huntress指出，这波攻击严重性不容小觑，因为邮件系统是所有企业及组织不可或缺的，而微软Exchange又是其中最广为使用的。这些服务器一般可从外部互联网存取，因此也有被远端攻击的风险。攻击者成功存取并控制Exchange Server后，就能以此为据点在受害者网络上横向移动，扩大损害。

受影响的Exchange Server版本包括2013、2016及2019。微软本周已对用户释出Exchange更新版本修补漏洞。但Huntress提醒代管业者，除了立刻更新Exchange服务器外，也应尽速寻找系统内是否有web shell和其他入侵指标。研究人员认为似乎所有防御性的产品，都无法成功防堵web shell下载。