圖片來源: 

Fortinet、Palo Alto Networks、Sophos

微軟於3月2日修補Exchange重大漏洞,這些漏洞主要影響Exchange 2013至2019等版本,由於相關漏洞遭到濫用的情況急劇惡化,使得許多資安專家相繼呼籲,網管人員應該儘速安裝修補程式,以免Exchange伺服器成為這波漏洞攻擊的受害者,但究竟要如何緩解這些漏洞可能帶來的影響?近日我們看到FortinetPalo Alto NetworksSophos等資安業者,紛紛提出建議,並指出修補漏洞只是第一步,後續企業或政府機關應該清查是否有遭到攻擊的情況,甚至可能要進行相關的事件回應(IR)。

具體來說,這裡3家資安業者提到的相關緩解與清查工具如下:

漏洞緩解措施

1. Exchange修補程式KB5000871
2. 緩解工具Exchange On-Premises Mitigation Tool(EOMT)

受害情況清查

1. 漏洞濫用調查工具Test-ProxyLogon.ps1
2. 惡意網頁殼層掃描工具Microsoft Safety Scanner(MSERT)
3. 檢查Exchange檔案是否遭竄改工具CompareExchangeHashes.ps1

 

安裝修補程式是防堵相關攻擊的第一步

從Fortinet、Palo Alto Networks、Sophos提出的說明當中,這3家廠商不約而同強調,企業與政府機關應該要先修補漏洞(Patch First)。但對於執行的過程中,他們也提出必須留意的細節。

例如,Palo Alto指出,微軟本次推出的修補程式KB5000871,初期存在著Exchange必須安裝指定版本的累積更新包(Cumulative Update,CU)才能適用的情況,換言之,當時用戶想要緩解相關漏洞,可能得事先安裝對應的累積更新包,才能修補漏洞。

這段期間,微軟也陸續對安裝不同CU的Exchange伺服器,提供專用的修補程式KB5000871。因此,現在網管人員在修補之前,雖然不需事先安裝特定版本的CU,但還是需要確認Exchange伺服器的版本,以及已安裝的CU,才能取得適用的修補程式。此外,對於Exchange 2016與2019的用戶,微軟也於近期推出包含相關修補程式的累積更新包,分別為Exchange 2016 CU 20,以及Exchange 2019 CU 9。換言之,網管人員也可以選用這些累積更新包進行修補作業。

無法安裝修補程式的用戶也應採取其他緩解措施

但針對無法停機等因素,有些Exchange伺服器面臨無法安裝修補程式的情況,Sophos則提醒網管人員,可採用微軟提供的暫時緩解措施,藉由手動調整、停用Exchange部分功能來達到目的。這些措施包括:在Exchange過濾器加入IIS覆寫規則,以及停用整合通訊服務(Unified Messaging)、離線通訊錄(OAB)的虛擬目錄等。採用調整上述功能的緩解方法,近期微軟也提供了自動化指令工具Exchange On-Premises Mitigation Tool(EOMT)

對於許多無法修補Exchange,或是調整相關設定的用戶,上述資安廠商也透過IPS特徵碼的方式,提供虛擬修補。以Fortinet而言,已在3月3日至4日推出4個FortiGuard的IPS修補程式,此外,他們旗下的FortiEDR和FortiXDR事件偵測與回應系統,能夠偵測並封鎖濫用相關漏洞的行為。

而Palo Alto則是對於旗下次世代防火牆,推出8380版的威脅預防情資包來進行防範。至於Sophos,也在他們旗下的防火牆、UTM、端點防護系統Intercept X Advanced,加入相關的IPS特徵碼,該公司亦針對防毒軟體的部分,納入識別網頁殼層(Web Shell)和惡意酬載的特徵碼。

緩解漏洞後需釐清可能受害的範圍

在完成修補或是執行上述緩解作業之後,接下來就是應該確認有那些Exchange伺服器受害。Palo Alto與Sophos指出,這裡可以透過微軟提供的工具進行檢查。這些工具包含了PowerShell指令碼Test-ProxyLogon.ps1,以及安全掃描工具Microsoft Safety Scanner(MSERT)等。前者藉著檢查Exchange伺服器和IIS事件記錄的方式,來確認漏洞是否遭到濫用;後者則能掃描是否存在可能會帶來危害的網頁殼層。

此外,對於已有勒索軟體DearCry濫用相關漏洞入侵Exchange伺服器的現象,Sophos也提到網管人員可運用微軟提供的指令碼CompareExchangeHashes.ps1,能比對Exchange的檔案完整性,檢查相關檔案是否出現遭到竄改的情況。

但在這些漏洞檢測工具之外,無論Fortinet、Palo Alto或是Sophos,他們也提醒自家用戶,可透過對應的資安事件調查系統來進行事件調查,並提供有關的操作步驟。


熱門新聞

Advertisement