微軟上周公布修補遭到駭客攻擊的 Exchange Server 漏洞,全球恐有數萬個組織受害。安全專家質疑微軟從1月初經臺灣安全廠商通報到實際修補,花了快2個月,動作太慢。
上周三微軟公布Exchange Server 4項漏洞遭到駭客組織開採,以駭入企業竊取郵件,並會在Exchange Server建立後門。不過,來自台灣的 DEVCORE(戴夫寇爾)做為最早揭露此零日漏洞的團隊,其研究人員於1 月 5 日即通報微軟存在於Exchange Server 的安全漏洞,編號命名為「CVE-2021-26855 」及「CVE-2021-27065」(DEVCORE 團隊稱其為「ProxyLogon」)。
DEVCORE 觀察到全球企業普遍使用微軟生態系執行日常業務,若遭受駭客攻擊,將造成用戶機敏資料外洩並導致極大損失。因此於去年 10 月開始針對世界知名的郵件伺服器 Microsoft Exchange Server 進行漏洞研究,並於 12 月取得初步成果,率先發現並通報給微軟,其安全回應中心網站也致謝發現漏洞的 DEVCORE 首席資安研究員暨研究組組長蔡政達(Orange Tsai)。
DEVCORE 此次揭露的「ProxyLogon」為重大的「無需驗證的遠端程式碼執行(Pre-Auth Remote Code Execution; Pre-Auth RCE)零日漏洞(Zero-day exploit),讓攻擊者得以繞過身份驗證步驟,驅使系統管理員協助執行惡意文件或執行指令,進而觸發更廣泛的攻擊。
ProxyLogon 是微軟近期被揭露最重大的 RCE 漏洞之一,DEVCORE 遵循責任揭露(Responsible Disclosure)原則, 發現後於 2021年 1 月 5 日第一時間通報微軟進行相關修補,以避免該漏洞遭有心人士利用,造成全球用戶重大損失。
微軟遂於 3 月 2 日針對相關漏洞釋出安全更新並進行修補,避免用戶的機敏資訊遭受惡意攻擊。
蔡政達指出,DEVCORE 團隊在 2019 年時就已發布了許多有關遠端程式碼的研究,引發許多討論,美國國家安全局等單位更對此向企業示警,然而這些遠端程式碼仍然被全球許多惡意攻擊者所利用。
此次執行 ProxyLogon 研究項目,便是希望提高企業組織的安全意識,防範因存在漏洞而遭到進階持續性滲透攻擊(Advanced Persistent Threat;APT),或是被國際駭客組織所突破。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!