根據(jù)Rapid7的最新數(shù)據(jù)，2月份修復(fù)的Microsoft Exchange安全漏洞仍未在成千上萬的Exchange服務(wù)器上修復(fù)。

Rapid7 在3月24日使用Project Sonar編制了面向Internet的Exchange服務(wù)器列表，并發(fā)現(xiàn)了350,000 臺(tái)運(yùn)行易受攻擊的Exchange版本的服務(wù)器。Rapid7 Labs經(jīng)理Tom Sellers說，該團(tuán)隊(duì)正在尋找面向公眾的Exchange Outlook Web App（OWA）服務(wù)，并在433,464臺(tái)Exchange服務(wù)器中找到了357,629臺(tái)易受攻擊的服務(wù)器。這意味著在此分析中，只有大約17％的Exchange服務(wù)器已更新。

Microsoft 在2月11日發(fā)布了CVE-2020-0688 的安全更新。具有任何被盜Exchange用戶帳戶的攻擊者可以觸發(fā)此漏洞，并以系統(tǒng)級(jí)特權(quán)遠(yuǎn)程執(zhí)行任意代碼。在許多環(huán)境中，攻擊者可能會(huì)破壞整個(gè)Exchange環(huán)境（包括電子郵件）和所有Active Directory。

攻擊團(tuán)體喜歡攻擊諸如Exchange之類的電子郵件服務(wù)器，因?yàn)楣粽呖梢宰屗鼈冮喿x組織的所有通信和計(jì)劃，并控制組織所說的話。零日研究所（Zero Day Institute）的安全研究員西蒙·扎克布勞恩（Simon Zuckerbraun ）在描述此漏洞時(shí)寫道，攻擊者可以“隨意泄露或篡改公司的電子郵件通信” 。

遭到攻擊

當(dāng)Exchange控制面板Web應(yīng)用程序在安裝過程中未生成唯一的加密密鑰時(shí)，會(huì)導(dǎo)致遠(yuǎn)程執(zhí)行代碼漏洞，從而導(dǎo)致不信任數(shù)據(jù)的反序列化。該安全更新修復(fù)了如何為Microsoft Exchange Server 2010、2013、2016和2019生成加密密鑰。尚未確認(rèn)在2017年4月進(jìn)入支持終止的Microsoft Exchange Server 2007是否也容易受到攻擊。

3月份，網(wǎng)絡(luò)安全和基礎(chǔ)架構(gòu)安全局稱此漏洞為攻擊者“有吸引力的目標(biāo)”，并指出高級(jí)持久威脅參與者已將未打補(bǔ)丁的服務(wù)器作為攻擊目標(biāo)。Bad Packets首席研究官Troy Mursch 觀察到了容易受到此漏洞影響的服務(wù)器的大規(guī)模掃描活動(dòng)。威脅情報(bào)和事件響應(yīng)公司Volexity “觀察到多個(gè)APT參與者正在利用或試圖利用本地Exchange服務(wù)器。”

Microsoft最初將該漏洞的嚴(yán)重性評(píng)為“重要”，因?yàn)楣粽咝枰粋€(gè)合法的Exchange帳戶才能在利用此漏洞之前針對(duì)服務(wù)器進(jìn)行身份驗(yàn)證。但是，這并不是很大的障礙，因?yàn)槠髽I(yè)中幾乎所有用戶都將擁有有效的Exchange帳戶。這意味著攻擊者可以從大量潛在的受害者中誘騙Exchange憑據(jù)。安全研究人員凱文·博蒙特（Kevin Beaumont）在推特上建議，攻擊者還可以使用LinkedIn和其他公共資源來找出潛在地址，并發(fā)起憑證填充攻擊以試圖獲得訪問權(quán)限。

Volexity Threat Research說，一些攻擊者“似乎一直在等待機(jī)會(huì)用原本沒有用的憑據(jù)進(jìn)行攻擊。” 研究小組寫道，這些組以前可能已經(jīng)獲得了有效的Exchange憑據(jù)，但是由于已經(jīng)存在安全控制（例如兩因素身份驗(yàn)證）而無法使用它們。攻擊組利用該漏洞運(yùn)行系統(tǒng)命令進(jìn)行偵察，部署可通過OWA訪問的Webshel??l后門以及在內(nèi)存中執(zhí)行漏洞利用框架。

聲納計(jì)劃重點(diǎn)介紹了其他令人擔(dān)憂的問題，但應(yīng)用二月份更新的服務(wù)器數(shù)量較少。賣家說，自2012年以來未更新的Exchange 2010服務(wù)器超過31,000臺(tái)，從未更新的Exchange 2010服務(wù)器將近800臺(tái)。有10,731臺(tái)Exchange 2007服務(wù)器-此版本沒有補(bǔ)丁，因?yàn)椴辉偈苤С?。加入尚未修補(bǔ)的166,321臺(tái)Exchange 2010服務(wù)器（本來計(jì)劃在一月停用，但現(xiàn)在計(jì)劃于十月），這是很多易受攻擊的服務(wù)器。

賣家說：“這是數(shù)量驚人的企業(yè)級(jí)郵件系統(tǒng)，幾個(gè)月之內(nèi)將不受支持。”

賣方說，分析可能沒有發(fā)現(xiàn)所有易受攻擊的服務(wù)器，因?yàn)檠芯繄F(tuán)隊(duì)使用的檢查方法并未“提供我們所需的版本精度”。團(tuán)隊(duì)指定為“安全”的某些服務(wù)器實(shí)際上可能容易受到攻擊，并且由于Microsoft的某些更新未更新操作系統(tǒng)的內(nèi)部版本號(hào)，因此該分析具有“不確定性”。

管理員在更新關(guān)鍵任務(wù)服務(wù)器時(shí)必須非常小心，因?yàn)樗麄儫o法承受使系統(tǒng)長(zhǎng)時(shí)間離線的負(fù)擔(dān)。電子郵件服務(wù)器即使停機(jī)幾分鐘，也可能對(duì)組織造成嚴(yán)重影響-銷售損失和與客戶的延遲通信只是兩個(gè)例子。在許多管理員無法立即訪問數(shù)據(jù)中心的情況下，甚至可能更不愿冒險(xiǎn)冒險(xiǎn)關(guān)閉郵件服務(wù)器進(jìn)行維護(hù)。

組織應(yīng)將運(yùn)行不再受支持的軟件的服務(wù)器更新到較新版本。如果不能選擇更新Exchange服務(wù)器，則管理員應(yīng)為所有Exchange帳戶強(qiáng)制重置密碼，以便此時(shí)無法使用被盜憑據(jù)。