回到首頁
個人.家庭.數位化 - 數位之牆



產業動態 零時差漏洞攻擊Palo Alto Networks提出四招防範
盛思公關 本新聞稿發佈於2021/03/15,由發布之企業承擔內容之立場與責任,與本站無關

根據從Palo Alto Networks Expanse平台收集的遙測數據,Palo Alto Networks估計世界上仍然有超過125,000台未修補漏洞的Exchange Servers,Palo Alto Networks日前也公佈目前偵測到的在台灣發現約有950個Exchange Server零時差漏洞威脅。

 
■ 發布/輪播新聞稿 新聞稿直達14萬電子報訂戶刊登新聞稿:按此 想在你的Blog上輪播產業動態按此
 
微軟 Exchange Server電子郵件伺服器近期被發現了 4 個重大零時差漏洞(CVE-2021-26855、CVE-2021-26857、 CVE-2021-26858 及 CVE-2021-27065)。這些漏洞使攻擊者可以長期利用Exchange Server漏洞進行攻擊。微軟威脅情報中心(MSTIC)將這些攻擊以「高可信度」認定為HAFNUIM駭客組織,他們評估HAFNUIM是由中國資助並在中國以外營運的組織。包括MSTIC和Unit 42在內的多個威脅情報團隊也發現多個網路攻擊者現正利用這些零時差漏洞作攻擊。
在全球,預估受到此網路攻擊的企業數以萬計,更重要的是,在發佈漏洞修補之前,攻擊者已經充分利用這些漏洞至少兩個月的時間。根據從Palo Alto Networks Expanse平台收集的遙測數據,Palo Alto Networks估計世界上仍然有超過125,000台未修補漏洞的Exchange Servers,Palo Alto Networks日前也公佈目前偵測到的在台灣發現約有950個Exchange Server零時差漏洞威脅。
Palo Alto Networks建議企業遵循以下方法來應對其環境中零時差潛在威脅:
1. 找到所有Exchange Server,確定是否需要修補漏洞:
有漏洞的Exchange Server版本包括2013年版本、2016年版本和2019年版本。雖然Exchange 2010不受Exchange 2013/2016/2019年相同的攻擊鏈的攻擊,Microsoft仍為此版本的軟件發佈了CVE-2021-26857的修補。Microsoft最近發佈了針對較舊也不受支援的Exchange版本的額外指南。
微軟也建議更新所有的Exchange Server,並優先考慮對外網路的更新。即使企業發現Exchange Server不是用來對外網路為主的路徑,如果透過其他外部網路,攻擊者仍然可以利用這些漏洞。
2. 修補並保護企業所有的Exchange Server:
如果不能立即更新或修補Exchange Server,有一些緩解措施和解決方案可能會減少攻擊者利用Exchange Server的機會,這些緩解措施應該只是暫時的,直到漏洞被修補完成。如果Exchange Server的入站流量啟用了SSL解密,已更新為Threat Prevention Content Pack 8380或更高版本的Palo Alto Networks新世代防火牆(NGFW)可以防止這些漏洞。在Exchange Server上運行的Cortex XDR將檢測並阻止這些攻擊中常用的webshell活動。
初始攻擊需要具有與Exchange Server網路埠443的不受信任的連接能力。可以透過限制不受信任的使用者對系統的連接來防止這種情況的發生。或僅允許VPN進行身份驗證的使用者連接系統或透過使用防火牆將連接限制設為對特定主機或IP範圍的連接來進行。使用此措施僅能防禦攻擊的初始部分。如果攻擊者已經可以連接網路或者可以說服管理員打開惡意文件,則仍然可以觸發攻擊鏈的其他部分。
有關使用Palo Alto Networks產品的更多訊息,包括訂閱安全防火牆,用於自動化的Cortex XSOAR和用於端點保護的Cortex XDR,可以在我們的威脅評估頁面中找到。
3. 確定Exchange Server是否已經受到威脅:
這些漏洞已經氾濫成災,並被積極利用了超過一個月,最早的跡象顯示這個漏洞可以追溯到1月3日。任何使用這些容易受駭客攻擊的組織都必須評估其伺服器是否受到威脅。修補系統並不會刪除已部署在系統上的任何惡意軟體。
Palo Alto Networks Unit 42威脅報告指出Exchange Server攻擊的最初行動者使用的戰術、技術與程序(TTP;tactics, techniques and procedures)包括:
• 使用7-Zip將竊取的數據壓縮到ZIP文件中以進行滲透。
• 添加並使用Exchange PowerShell管理單元導出郵件信箱數據。
• 使用Nishang Invoke-PowerShellTcpOneLine反向外殼。
• 從GitHub下載PowerCat,然後使用它打開與遠程服務器的連接。
4. 如果遭受到攻擊,請與資安事件應變小組聯繫:
如果Exchange Server已受到威脅,則仍應採取措施來保護它免受上述漏洞的侵害,防止其他攻擊者進一步破壞系統。Exchange Server版本安裝額外的安全更新非常重要,但是這不會刪除系統上已經安裝的任何惡意程式,也不會驅逐網絡中存在的任何威脅。
如果已受到攻擊,企業則應制定事件應變計畫。Palo Alto Networks Crypsis事件應變小組可以提供幫助:mailto:crypsis-investigations@paloaltonetworks.com。


媒體聯繫:
Libby Chang
Palo Alto Networks
亞太區企業傳播經理
電話: +65 6813 2957
E-mail: libbychang@paloaltonetworks.com
新聞稿代發機構:
盛思公關
聯絡人:羅潔 / 劉宛昀
電話:(02)7713-6610 分機796/656
E-mail: christine.lo@shangs.com.tw / Catherine.liu@shangs.com.tw

- 新聞稿有效日期,至2021/04/15為止


聯絡人 :Catherine
聯絡電話:0277136610
電子郵件:catherine.liu@shangs.com.tw

上一篇:芯科擴展xG22平台為IoT 邊緣應用提供最佳化的32位元MCU
下一篇:AWS架構的Graviton2 佈署新思科技VCS 以加速SoC的開發

 
搜尋本站


最新科技評論

訂閱制付費會員經營之道:我積攢一生的工作經驗 - 2020/12/06

共享經濟:以人民的名義爭奪流量入口 - 2017/06/18

影音網站的未來(三) PGC孵化IP,直播更接近長尾 - 2016/10/16

影音網站的未來(二)短影音適合往社交和工具發展 - 2016/10/09

影音網站的未來(一)長尾效應與頭部效應無法兼顧 - 2016/10/02

大部分O2O 模式違反網際網路經濟特性 - 2015/02/08

融資是怎麼回事(下)什麼人能拿到投資 - 2015/01/04

融資是怎麼回事(中)讀懂投資人的唇語 - 2014/12/21

融資是怎麼回事(上)融資是迭代的過程 - 2014/12/14

■ 訂閱每日更新產業動態
RSS
RSS

當月產業動態

Information

 

 

 




個人.家庭.數位化 - 數位之牆

欲引用本站圖文,請先取得授權。本站保留一切權利 ©Copyright 2008, DigitalWall.COM. All Rights Reserved.
Question ? Please mail to service@digitalwall.com

歡迎與本站連結!