【創科廣場】系統漏洞人人自危 黑客掃描處處刺探

雖然3月初，Microsoft就Exchange 伺服器上多個零日漏洞（Zero-day vulnerabilities）發布填補漏洞的修補程式；Exchange 事故愈演愈烈。

2月台灣網絡保安研究團隊戴夫寇爾（DEVCORE）發現漏洞，與接觸後Microsoft，黑客已迅速網上活動，漏洞公布前，已經有不少黑客在網上，售入侵和攻擊的工具，短期內相信Exchange伺服器仍會是攻擊主要對象。

據報Microsoft正調查DEVCORE是否外泄有關漏洞，導致黑客在修補程式出現前，已乘虛而入。DEVCORE表示內部調查後，並無任何發現。

據Palo Alto Networks的網絡威脅研究小組Unit 42估計，黑客在有關漏洞公布前，Microsoft推出修正軟件前整整2個月，一直在展開攻擊，即使企業安裝Microsoft修補程式，也不一定是安全，可能早已被入侵，必須檢視是否已遭入侵。

Unit 42估計全球超過12萬部Exchange伺服器，未有填補漏洞。而Check Point Research公布發現有數百次嘗試針對全球組織的漏洞攻擊，與Microsoft Exchange Server 的4個零日漏洞有關。

Barracuda 近日就有關問題發文，指黑客可利用安全漏洞，隨意發送HTTP 請求並通過 Exchange伺服器進行身分驗證，獲得存取權限進行攻擊，包括植入 Webshells在系統的Http session執行。

「中國製造」循環再用

Webshell是以Script執行的小程式，可以用PHP、ASP、Perl或JSP撰寫，黑客可植入Webshell在Exchange伺服器，以自遠端存取或執行伺服器上的功能；Webshell優點是常駐在伺服器，成為持續攻擊受害系統入口。然而，惡意Webshell不是執行檔，只屬Script檔，所以掃毒程式往往找不出來。

Webshell後門文件往往是與伺服器WEB目錄下，與正常網頁檔混合一起，黑客通過Web的訪問執行Webshell進行上傳下載文件、訪問數據庫、執行系統命令等高危操作，以非法控制網站伺服器，Webshell本身執行權限不高，勝在隱蔽性夠強，可作為入侵第一步。

發動APT攻擊

Unit 42指有關的漏洞被中國國家支持的黑客組織Hafnium，製作了一款ASPX的Webshell，並植入Exchange的Offline Address Book（OAB）。上述據稱是「中國製造」的Webshell，名為China Chopper。不過FireEye自從2013年，就已發現和分析China Chopper，自始變成了黑客流行工具，Unit 42研究員Jeff White亦製作工具掃描，發現不少Exchange已遭植入了Webshell。

羅兵咸永道香港網絡安全及私隱服務合夥人顏國定表示，本港和澳門Exchange受攻擊的情況相當嚴重，主要都是植入Webshell作後門，不過部分亦利用Exchange作為攻擊入口，發動APT攻擊。

「本港有數家機構遭入侵，機構須盡快修復，以免成為下一家受害者；攻擊Exchange弱點的程式，甚至可在GitHub公開下載。攻擊量上升，亦毫不足怪。」

顏國定指出。羅兵咸永道檢查多家機構的Exchange伺服器，其中至少150部發現有漏洞存在。

攻擊量大幅增長

自2021年3月初以來，Barracuda研究人員留意到，偵察到全球Exchange的 攻擊增長，流量從 3月1日低位開始急升。

Barracuda 發現大多數攻擊屬於偵察性質，主要是刺探後端是否正運行Exchange，結果不少未在後端上運行Exchange系統，都受到刺探。自從2月24日以來，Barracuda 研究人員留意針對漏洞掃描，數量持續上升。預期未來數周，黑客繼續掃描及尋找可攻擊漏洞，攻擊次數會持續上升。

所以企業應盡快更新Microsoft軟件，並掃描系統偵測漏洞。安裝修補防禦安全漏洞，黑客亦需時研究部署新工具。如果趕及安裝，也可考慮以Web應用防火牆（Web Application Firewall， WAF）和WAF即服務，攔截針對Exchange 和VMWare漏洞的掃描和攻擊。另一個方法是建立「零信任網絡存取」（ZTNA）權限，加強控制應用的存取權限，企業應審視公司現有的終端安全防護和合規的執行措施。

ZTNA方案能夠確保企業安全、可靠和快速地存取儲存於內部或雲端上的任何位置和裝置之應用，控制風險建立偵測和應變方案 。

掃描Webshell是其中一個方案，以偵測網絡任何入侵迹象，如有來歷不明的Webshell，意味系統已經遭入侵。今次事件說明WAF防火牆，仍具重要防禦價值，單靠傳統防火牆，任何開放HTTP系統，可能也不安全。