链接全球网络   7X24服务热线:4006-136-156
  • 首页
    关于我们
    深圳市田鑫科技有限公司专注于全球网络数据传输与安全、全球网络应用稳定与安全以及混合云解决方案三大领域。
  • 云服务
    云服务
    资深云计算专家为企业量身定制个性化上云解决方案,整合计算、存储、网络、BGP、安全防护资源,帮助企业快速、弹性、安全、高可靠、低成本的发展自身业务。
  • 安全
    安全
    田鑫科技从主机安全、网络安全、应用安全、业务安全多方面入手,多重安全防护方案确保企业业务高效高可用性,真正确保企业业务99.9%在线。
  • 数据传输
    数据传输
    田鑫科技通过整合亚洲、欧洲、美洲三大节点,数十个数据中心硬件和网络资源。为企业打造安全的数据传输通道,提供优质的互联网带宽接入服务,有效降低企业网络部署及运营成本。
  • 解决方案
    解决方案
    凭借着丰富的云基础设施集成资源与全球三大节点网络资源,针对各行业业务特性,结合企业用户现有业务场景与系统架构,为用户提供一站式的行业解决方案。
  • 关于我们

未修补的EXCHANGE服务器过多

发布时间:04-07      

服务器安全

根据Rapid7的最新数据,2月份修复的Microsoft Exchange安全漏洞仍未在成千上万的Exchange服务器上修复。

Rapid7 在3月24日使用Project Sonar编制了面向Internet的Exchange服务器列表,并发现了350,000 台运行易受攻击的Exchange版本的服务器。Rapid7 Labs经理Tom Sellers说,该团队正在寻找面向公众的Exchange Outlook Web App(OWA)服务,并在433,464台Exchange服务器中找到了357,629台易受攻击的服务器。这意味着在此分析中,只有大约17%的Exchange服务器已更新。

Microsoft 在2月11日发布了CVE-2020-0688 的安全更新。具有任何被盗Exchange用户帐户的攻击者可以触发此漏洞,并以系统级特权远程执行任意代码。在许多环境中,攻击者可能会破坏整个Exchange环境(包括电子邮件)和所有Active Directory。

攻击团体喜欢攻击诸如Exchange之类的电子邮件服务器,因为攻击者可以让它们阅读组织的所有通信和计划,并控制组织所说的话。零日研究所(Zero Day Institute)的安全研究员西蒙·扎克布劳恩(Simon Zuckerbraun )在描述此漏洞时写道,攻击者可以“随意泄露或篡改公司的电子邮件通信” 。

遭到攻击

当Exchange控制面板Web应用程序在安装过程中未生成唯一的加密密钥时,会导致远程执行代码漏洞,从而导致不信任数据的反序列化。该安全更新修复了如何为Microsoft Exchange Server 2010、2013、2016和2019生成加密密钥。尚未确认在2017年4月进入支持终止的Microsoft Exchange Server 2007是否也容易受到攻击。

3月份,网络安全和基础架构安全局称此漏洞为攻击者“有吸引力的目标”,并指出高级持久威胁参与者已将未打补丁的服务器作为攻击目标。Bad Packets首席研究官Troy Mursch 观察到了容易受到此漏洞影响的服务器的大规模扫描活动。威胁情报和事件响应公司Volexity “观察到多个APT参与者正在利用或试图利用本地Exchange服务器。”

Microsoft最初将该漏洞的严重性评为“重要”,因为攻击者需要一个合法的Exchange帐户才能在利用此漏洞之前针对服务器进行身份验证。但是,这并不是很大的障碍,因为企业中几乎所有用户都将拥有有效的Exchange帐户。这意味着攻击者可以从大量潜在的受害者中诱骗Exchange凭据。安全研究人员凯文·博蒙特(Kevin Beaumont)在推特上建议,攻击者还可以使用LinkedIn和其他公共资源来找出潜在地址,并发起凭证填充攻击以试图获得访问权限。

Volexity Threat Research说,一些攻击者“似乎一直在等待机会用原本没有用的凭据进行攻击。” 研究小组写道,这些组以前可能已经获得了有效的Exchange凭据,但是由于已经存在安全控制(例如两因素身份验证)而无法使用它们。攻击组利用该漏洞运行系统命令进行侦察,部署可通过OWA访问的Webshel​​l后门以及在内存中执行漏洞利用框架。

声纳计划重点介绍了其他令人担忧的问题,但应用二月份更新的服务器数量较少。卖家说,自2012年以来未更新的Exchange 2010服务器超过31,000台,从未更新的Exchange 2010服务器将近800台。有10,731台Exchange 2007服务器-此版本没有补丁,因为不再受支持。加入尚未修补的166,321台Exchange 2010服务器(本来计划在一月停用,但现在计划于十月),这是很多易受攻击的服务器。

卖家说:“这是数量惊人的企业级邮件系统,几个月之内将不受支持。”

卖方说,分析可能没有发现所有易受攻击的服务器,因为研究团队使用的检查方法并未“提供我们所需的版本精度”。团队指定为“安全”的某些服务器实际上可能容易受到攻击,并且由于Microsoft的某些更新未更新操作系统的内部版本号,因此该分析具有“不确定性”。

管理员在更新关键任务服务器时必须非常小心,因为他们无法承受使系统长时间离线的负担。电子邮件服务器即使停机几分钟,也可能对组织造成严重影响-销售损失和与客户的延迟通信只是两个例子。在许多管理员无法立即访问数据中心的情况下,甚至可能更不愿冒险冒险关闭邮件服务器进行维护。

组织应将运行不再受支持的软件的服务器更新到较新版本。如果不能选择更新Exchange服务器,则管理员应为所有Exchange帐户强制重置密码,以便此时无法使用被盗凭据。