中芯數據零誤判完全防守微軟Exchange零日漏洞攻擊

2021/03/19

【台北訊2021年3月19日】近期微軟Exchange Server資安事件引發全球關注，中芯數據資安技術團隊於這2週亦已發出10筆以上的高風險威脅通報，無一例外都是透過Exchange漏洞入侵到單位內部，由於入侵後駭客可以直接獲得system權限，因此駭客可以利用非常高的權限輕易地做到非法之事，如竊取公司重要資料、執行變臉詐騙攻擊（竄改匯款帳戶）、橫向擴散至內部其他重要主機、進行全單位加密勒索等，強烈建議各單位儘速進行Exchange漏洞修補，避免被有心人士趁機入侵至單位內部。

值得擔心的是，在修補後的駭客無法以此漏洞進行入侵，但在修補前，你是否能確認駭客已經進來了！？中芯數據資安技術團隊觀察到，由於此漏洞的特性，非常多的駭客行為近期只是先進行大規模掃描，當發現有此漏洞時，會先將惡意後門植入有問題的設備中，並進行初步的橫向擴散或端點資訊探查，潛伏其中待日後再進行更近一步的攻擊，由於駭客進入後可以直接獲得極高的系統權限，即可以輕易的散佈惡意程式於內部設備中，因此，就算企業主已經將Exchange進行更新，駭客還是能藉由之前早已放入內部的惡意後門進行持續的攻擊，進一步造成單位內部極大的資安危害，如下圖，即為中芯數據IPaaS近期某次通報中，駭客透過漏洞放入惡意webshell，接下來即可透過該webshell進行一系列的情蒐與橫向擴散。

中芯數據資安團隊建議：

各單位可以先初步檢查下路徑，確認路徑中是否有可疑檔案，路徑如下：
1. <volume>\inetpub\wwwroot\aspnet_client\
2. <volume>\inetpub\wwwroot\aspnet_client\system_web\
3. <exchange install path>\FrontEnd\HttpProxy\owa\auth\
4. <exchange install path>\FrontEnd\HttpProxy\owa\auth\Current\
5. <exchange install path>\FrontEnd\HttpProxy\owa\auth\<folder with version number>\

以上，為近日較為容易出問題的路徑，但只要駭客有心，他依舊可以利用漏洞上傳的其他地方，各單位應評估現有資安防護中，是否能有效針對已著漏洞入侵後，植入未知惡意後門的檢測機制與因應措施。中芯數據IPaaS服務除了會幫各位檢測全球情資及台灣獨有情資資料庫外，透過獨有的Intended Intrusion Hunting（IIH）技術，有別與以往資安設備只對單一行為進行偵測告警，IPaaS服務對於所部署的端點中任何可疑的行為，IIH機制會針對可疑行為的前後動作進行整合判斷，即便駭客利用系統或軟體漏洞進入內網，中芯數據IPaaS皆能立刻發現與立即通報，更提供詳細惡意程式資訊及完整的處置辦法，除了確保單位可以成功偵測到各種最新與未知的威脅之外，並可確保事件處理過程中，單位內業務服務都能正常運行不中斷。