Barracuda 發現針對 Microsoft Exchange 安全漏洞的偵察急升

Barracuda 發現針對   Microsoft Exchange 安全漏洞的偵察急升 

領導業界的雲端安全解決方案供應商 Barracuda 近日就有關Microsoft Exchange 事故的研究結果發布博客文章。

Microsoft 於2021年3月2日就   Exchange 伺服器上的多個零日漏洞（Zero-day vulnerabilities）發布帶外（out-of-band）修補桯式填補漏洞（詳情參見附錄）。駭客利用安全漏洞可隨意發送HTTP請求並通過Exchange 伺服器進行身份驗證，獲得存取權限並進行攻擊，包括將webshells納入已暴露的系統中。

自2021年3月初以來，Barracuda研究人員留意到全球有關   Microsoft Exchange 攻擊的偵察有所增加，流量從3月1日的低位開始急升。

常見網址和用戶代理（UserAgent） 

Barracuda發現大多數攻擊屬於偵察性質，其中主要是針對未在後端上運行   Exchange 的系統，最常見的五個網址如下：

• /owa/auth/x.js
• /ecp/y.js
• /ecp/program.js
• /ecp/x.js
• //ecp/x.js

三個最常被掃描器使用的用戶代理分別是：

• ExchangeServicesClient,
• python-requests
• nmap

Barracuda研究人員的發現與其他安全解決方案供應商公布的發現並無重大差異，但發現有大量的掃描器正使用標準的瀏覽器標題。

針對其他漏洞的掃描上升 

綜合而言，自2月24日以來，Barracuda研究員留意到針對這些漏洞的掃描數量正持續上升。

防禦以   Exchange 漏洞為目標的攻擊 

在未來數星期內，預期駭客仍然會繼續進行掃描及尋找可以攻擊的漏洞，攻擊次數會持續上升，然後漸趨平穩及減少。企業可以採用以下安全建議防禦攻擊：

• 儘快更新Microsoft軟件 —  Microsoft在2021年3月9日就Microsoft Exchange伺服器漏洞及修補發表最新安全建議，企業應儘快作出更新並掃描系統偵測漏洞。及時的軟件更新，尤其是針對修補安全漏洞的更新，是保護系統安全的關鍵因素。儘快安裝修補程式可防禦大部分安全漏洞，因為駭客需要時間去研究和部署具針對性的工具。如若漏洞已被利用，企業下一步則應採用更全面的資安事故應變程序。
• 善用網頁應用程式防火牆（WAF）和WAF即服務 — 這些工具可設置去攔截針對Exchange和VMWare漏洞的掃描和攻擊。
• 建立零信任網絡存取（ZTNA）權限 — 增加應用程式的存取權限非常重要，企業應審視公司現有的終端安全防護和合規執行措施。ZTNA解決方案確保企業可安全、可靠和快速地存取儲存於內部或雲端上的任何位置和裝置之應用程式和工作負載，有助企業控制風險。

• 建立偵測和應變方案 — 針對今次事件，掃描webshell是其中一個方案，企業需要部署掃描方案並具備更全面的掃描能力以偵測網絡入侵的跡象。防禦是安全措施的第一步並是重要的一步，可以較少的資源和成本去阻截大部份的攻擊，但企業必須建立多重的安全保護及應變措施，以處理潛在的攻擊。

關於 Barracuda 

Barracuda相信所有企業都能夠以最容易的方式購買、安裝和使用企業級的雲端安全解決方案。我們為客戶提供可以與他們的業務發展旅程一起成長的創新方案去保護電郵、網絡、數據和應用方案。Barracuda受到全球超過200,000間企業企業的信頼，在已知和未知風險的情況下受到保護，令他們可以專注令業務更上層樓。如欲得到更多資料，請瀏覽barracuda.com 

Barracuda Networks, Barracuda 以及Barracuda Networks 商標是美國和其他國家的商標或註册商標。