微軟Exchange Server為全球數百萬企業與組織提供電子郵件及行事曆等協作服務方案,這些漏洞利用代碼(exploits)使駭客得以透過微軟Exchange Server接收來自外部不信任的網際網路存取,其中一個攻擊手法是利用遠端代碼執行攻擊(Remote Code Execution,RCE)將後門安裝到網路中以供日後使用。一旦安裝好後門,即便微軟已經修補這些漏洞,攻擊者仍然可以透過這些後門發動攻擊。 Fortinet 北亞區總經理陳鴻翔表示,「面對近日層出不窮的資安威脅,Fortinet 致力於為客戶打造滴水不漏的安全防護,提供業界最廣泛且完整的網路安全平台和最佳的AI驅動的安全營運,實現敏捷高效又安全的數位創新網路環境。作為微軟MAPP計劃的一員,Fortinet 第一時間已接獲微軟通知並全面更新所有解決方案的防護措施,我們也呼籲所有使用者立即採取必要更新措施,並加強企業內部資安防禦以及資訊安全意識」。 FortiGuard Labs最新發現:勒索軟體Dearcry利用微軟Exchange Server後門展開攻擊 微軟Exchange Server漏洞後患無窮,繼中國政府支持的「HAFNIUM」駭客組織利用微軟日前揭露的四個零時差漏洞持續攻擊世界各地組織後;FortiGuard Labs正在追蹤另一系列不明駭客團體的攻擊行動,利用Exchange Server後門試圖植入一項名為Dearcry的勒索軟體。 被DeojoCrypt/Dearcry鎖定的漏洞分別為先前微軟公佈的四個零時差漏洞,包括CVE-2021-26855、CVE-2021-26857、CVE-2021-26858及CVE-2021-27065。該攻擊鏈目標為能夠接收外部不信任連接的Exchange Server作為據點侵入,一旦駭客得逞並安裝Dearcry勒索軟體,即能建立受攻擊檔案的加密副本,並覆蓋及刪除原始檔案阻止復原。
Dearcry的運作模式為利用AES-256金鑰加密目標文件,接著使用RSA-2048金鑰對AES(Advanced Encryption Standard)金鑰進行加密,以便進一步展開攻擊。更為複雜的是,用於加密這些文件的公共金鑰會再將金鑰嵌入至勒索軟體二進位檔中,這意味著Dearcry不需與駭客的攻擊行動的命令暨控制(Command and Control,C&C)伺服器連線即可加密這些文件。因此,即使是設定為只允許網路存取的Exchange Server也會被加密,若沒有攻擊者提供的解密金輪,將無法解密並復原原始檔案。 美國資安大廠Fortinet 全方位資安解決方案 提供所有用戶最新抵禦措施 FortiGuard Labs研究團隊建議使用者採取以下四項抵禦措施: 1. 全面掃描、發現漏洞、即刻修補:立即更新組織内部的微軟Exchange Server。 2. 確保安全性:Fortinet已發佈相關解決方案的更新版本,請閱讀FortiGuard 威脅警示報告了解更多資訊。 3. 確認風險:即使已進行修補更新,仍須反覆確認組織是否遭受攻擊。FortiSIEM、FortiSOAR、FortiAnalyzer與FortiXDR的使用者們可參考FortiGuard Labs的威脅情報警示,根據建議的威脅回應策略以及自動化腳本進行有效的偵測與回應。 4. 聯繫資安團隊:如果組織的資安存有風險並受到影響,建議盡速聯絡專業資安團隊,協助回應資安攻擊,並將組織傷害與影響降至最低。 此外,Fortinet鼓勵企業與組織持續進行資安防禦培訓課程,實施教育訓練並深化員工資安防護意識,分享最新的網路釣魚攻擊,叮嚀員工不要開啟未知寄件人的訊息,更應謹慎應對未知寄件者的來信或不被信任的電子郵件。據各類報導指出,釣魚網站攻擊皆是透過社交工程(social engineering)陷阱詐騙得逞。因此,讓強化企業組織内所有使用者對各種類型的資安攻擊的知識是非常重要的;除此之外,企業組織內的資安部門可透過相關實戰演練或臨場測試幫助員工分辨不同種類的資安攻擊。 參考資料 ● 深入了解 FortiGuard Labs 與 FortiGuard 安全服務產品組合。 ● 深入了解 Fortinet 網路資安專家訓練機構,包含免費網路資安培訓、網路資安專家計畫、網路資安學院計畫與 FortiVet計畫。 ● 了解 Fortinet 安全織網(Secury Fabric) 如何為企業組織的數位基礎架構提供全面、整合且自動化的保護。 ● 閱讀更多關於Fortinet 客戶如何使用 Fortinet 服務保護其組織網路資訊安全 ● 參加 Fortinet 使用者社群(Fuse),分享你的想法與意見、深入了解我們的產品與技術並與其他人交流。 ● 在Twitter、LinkedIn、Facebook、YouTube 與 Instagram上追蹤 Fortinet。 ● 在官方網站、YouTube與LINE@上追蹤 Fortinet 台灣
- 新聞稿有效日期,至2021/04/24為止
聯絡人 :王育旋 聯絡電話:07010102053 電子郵件:twang@hoffman.com
上一篇:F5年度SOAS報告:亞太地區企業加速應用現代化與邊緣運算
下一篇:Maxim發佈最新同步整流DC-DC反相轉換器
|