微软Exchange高危漏洞爆发,看创宇蜜罐如何感知全网威胁

  • A+
所属分类:安全漏洞
微软Exchange高危漏洞爆发,看创宇蜜罐如何感知全网威胁


微软Exchange高危漏洞爆发,看创宇蜜罐如何感知全网威胁


一、Exchange严重漏洞爆发


01

漏洞爆发


北京时间3月3日,微软发布了Microsoft Exchange Server的安全更新公告,其中包含多个危害等级为“高危”的Exchange Server严重安全漏洞。这次安全更新修复了Exchange服务中一个完整的远程代码执行(RCE)漏洞链,黑客可以利用这些危害巨大的漏洞在Exchange环境中植入webshell程序,通过绕过Exchange服务的身份验证完全拿下Exchange服务器控制权,利用该漏洞无须权限即可实现远程代码执行


Exchange Server是微软公司的一套电子邮件服务组件,是一个主要提供电子邮件、会议安排、任务管理等协作应用的消息与协作系统。


02

漏洞趋势


在补丁发布日,经初步筛查有超过115个国家的5000多台Exchange服务器被感染 webshell,而处于感染威胁的服务器数量只会更多。


尽管微软官方已经发布了解决上述漏洞的安全更新,并建议受影响用户尽快升级,以保护Exchange服务器不会受到针对Exchange高危漏洞发起的持续不断的袭击。


但很显然,确保所有用户进行及时的应对与响应需要很长的时间周期,这期间攻击者会针对此漏洞作何动作,没有确切数据支持。攻击者会针对Exchange高危漏洞发起何种攻击,攻击路径具体如何,漏洞影响趋势如何发展,这类数据难以收集也无法证明。



二、创宇蜜罐如何应对?


依赖于蜜罐技术本身对攻击的感知与收集、记录与分析功能,无疑可以对漏洞爆发后的攻击趋势进行整体展现。所以漏洞爆发之初,创宇蜜罐经安全性判断该漏洞对网络安全危害极大,便立刻针对该漏洞研发出相对应的Exchange蜜罐,以便对攻击数据进行收集分析。


Exchange蜜罐覆盖此次受影响的Exchange Server版本:

Exchange Server 2010、2013、2016、2019


部署一个Exchange Server2010版本的蜜罐,开启邮件服务端口110、HTTP端口80、HTTPS端口443,支持远程连接邮件服务、Web访问邮件服务(如下图)。


微软Exchange高危漏洞爆发,看创宇蜜罐如何感知全网威胁


在配置完成后,将该Exchange型蜜罐部署在企业机房的私有版蜜罐上,置于DMZ区域,将Exchange蜜罐IP地址映射到公网方便访问。同时,将部署完成的蜜罐公网IP地址作为诱饵散布到互联网中(如:GitHub、码云),尝试收集相关攻击数据、分析攻击过程。



三、攻击趋势分析


在Exchange蜜罐部署后的2021.3.12-2021.3.16时间段中,已捕获到针对Exchange蜜罐的攻击6万余条。


01

攻击趋势发展


微软Exchange高危漏洞爆发,看创宇蜜罐如何感知全网威胁


Exchange蜜罐于3月12日部署并散布诱饵,当天即捕获到1000+攻击,第2天开始捕获的攻击数量大大增加,达到2万+


从捕获到的攻击数据量上判断,由于Exchange漏洞极易被黑客利用进行数据窃取和勒索软件攻击,黑客对该漏洞发起的针对性攻击数量极其庞大。


创宇蜜罐会持续关注Exchange蜜罐捕获的漏洞攻击趋势!


02

攻击者身份溯源


捕获到的6万余条攻击来源于2600+攻击者IP,且根据IP地址可以判断,目前国内外黑客均十分关注该漏洞:


微软Exchange高危漏洞爆发,看创宇蜜罐如何感知全网威胁


微软Exchange高危漏洞爆发,看创宇蜜罐如何感知全网威胁


03

典型攻击过程分析


通过对收集到的大量Exchange漏洞攻击数据进行分析,创宇蜜罐对最为典型的漏洞攻击过程进行了总结。


1)攻击者首先对蜜罐IP端口发起扫描

▶ 2)针对开放的端口(80、443)对http、https服务进行访问

 3)远程连接或Web访问邮件服务(110端口)


通过多种攻击手段,攻击者绕过Exchange服务的身份验证步骤,达到无须权限实现远程代码执行的目的。


微软Exchange高危漏洞爆发,看创宇蜜罐如何感知全网威胁


当攻击者成功突破进入Exchange蜜罐后,对于微软Exchange高危漏洞进行了针对性攻击,在此不过多赘述。对Exchange蜜罐及其漏洞研究有兴趣的小伙伴,欢迎持续关注我们哦~



四、漏洞防护


部分企业对保密标准有要求,会将企业内网与互联网实现物理隔离,这种情况下一般通过电子邮件的形式实现信息共享,更有在局域网内部架设邮件服务器软件的情况发生,而Exchange Server通常作为构架企业内网邮件系统的主要选择之一。


近日,计算机巨头宏碁(Acer)收到勒索软件REvil攻击,其勒索赎金高达5000万美金,创下勒索软件赎金的新纪录。针对这次举世瞩目的恶劣网络攻击事件,人们猜测REvil可能利用了Exchange漏洞以达到植入勒索病毒的目的。


如果REvil确实利用了Exchange漏洞来窃取数据、植入病毒、加密设备,这将是勒索软件首次在“大规模狩猎”中使用Exchange漏洞攻击媒介。


2021年网络攻防演练在即,Exchange漏洞的存在势必会对众多企业的内网安全造成影响。创宇蜜罐通过感知全网威胁攻击,进行了Exchange漏洞利用的攻击数据收集与攻击趋势分析,判断信息价值更高的内网资产即将甚至正在遭受着大规模的漏洞攻击。显而易见的是,要提高对exchange漏洞的重视,而漏洞修复更是迫在眉睫。


目前,Windows系统自带的杀毒软件Microsoft Defender经过最新更新,可为仍处于弱势且尚未实施完整安全更新的系统自动缓解Exchange漏洞。


不过,此举并不能取代安全补丁,创宇蜜罐提示您,为保护企业及个人安全,及时更新防护很重要





微软Exchange高危漏洞爆发,看创宇蜜罐如何感知全网威胁
精彩推荐



纯干货|创宇蜜罐攻防演练落地应用方案
「云蜜罐」成就更强网站防御,全面溯源支撑攻防实战演练
攻防演练后,一波“重磅单位”感谢信来袭



微软Exchange高危漏洞爆发,看创宇蜜罐如何感知全网威胁
微软Exchange高危漏洞爆发,看创宇蜜罐如何感知全网威胁


👇 点击阅读原文,立即使用创宇蜜罐~

本文始发于微信公众号(知道创宇):微软Exchange高危漏洞爆发,看创宇蜜罐如何感知全网威胁

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: