一个由中国政府支持的黑客组织发起的大规模间谍活动,仅在美国就造成了至少3万名受害者。被称为铪的组织利用的Exchange Server漏洞已经被修复,但问题远未结束。现在,犯罪黑客可以看到微软已经修复了什么,他们可以逆向工程自己的漏洞,为升级攻击打开大门,如勒索软件,对任何仍然暴露的人。
在微软首次发布补丁后的一周内,这种动态似乎已经开始显现。分析人士发现,最近几天有多个组织加入了行动,其中大多数身份不明,可能还会有更多的黑客加入。组织花在补丁上的时间越长,他们就会发现自己陷入更多潜在的麻烦。
“这是一个拐点,从间谍活动经营者的手中转移到犯罪分子手中。”
约翰•Hultquist FireEye
虽然许多从微软获得电子邮件服务的组织使用了该公司的云服务,但也有一些组织选择自己“在内部”运行Exchange服务器,这意味着他们实际拥有和操作电子邮件服务器,并管理系统。上周二,微软针对其Exchange Server软件的四个漏洞发布了补丁,并在最初的警告中表示,中国政府支持的黑客组织铪是此次攻击的幕后黑手。它本周还证实,火力攻击并没有停止。
该公司在周一的更新中表示:“微软继续看到多个参与者利用未打补丁的系统,利用内部部署的Exchange Server攻击组织。”
当天晚些时候,美国国土安全部(Department of Homeland Security)下属的网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)重申,脆弱的组织迫切需要采取行动。该机构在推特上写道:“中国计算机工业协会敦促所有行业的所有组织遵循指导方针,解决微软Exchange Server产品漏洞在国内外广泛利用的问题。”
尽管现在的Exchange剥削情况很糟糕,但事故应对人员预计,如果不采取行动,情况可能会变得更糟。
安全公司FireEye负责情报分析的副总裁约翰•胡尔特奎斯特(John Hultquist)表示:“这是一个拐点,从间谍活动的经营者手中转移到犯罪分子手中,这可能会导致信息来源的公开。”“这就是我们现在屏息等待的,而且可能正在发生。”
补丁对于保护组织至关重要,但研究人员和攻击者同样可以使用它们来研究潜在的漏洞,并找出如何利用它。这种军备竞赛并不会降低发布补丁的重要性,但它可能会将有针对性的、间谍驱动的攻击变成破坏性的混战。
安全公司Volexity的首席执行官史蒂文·阿代尔(Steven Adair)在上周的一次采访中说:“我怀疑人们会想出如何利用这些与铪或他们的朋友无关的漏洞的办法。”Volexity是最先发现Exchange服务器遭到黑客攻击的公司。“加密货币挖矿人员和勒索软件人员将进入这个游戏。”
Red Canary和Binary Defense安全公司的威胁情报分析师已经发现,有迹象表明,攻击者正在为在暴露的Exchange服务器上运行密码挖掘者打下基础。
一旦有人公开发布了一个概念验证漏洞(实质上是提供了一个其他人可以使用的蓝图黑客工具),本已脆弱的情况就会变得更糟。“我知道一些研究团队正在进行概念验证,以便能够保护和保护他们的客户,”安全公司Red Canary的情报总监凯蒂·尼克尔斯(Katie Nickels)说。“现在所有人都担心的是,是否有人会发布概念验证。”
周二,企业安全公司Praetorian的研究人员发布了一份关于他们为Exchange漏洞开发的漏洞的报告。该公司表示,它是有意识地选择删除一些关键细节,这些细节将允许几乎任何攻击者,无论他们的技能和专业知识,将该工具武器化。周三,安全研究人员马库斯·哈钦斯(Marcus Hutchins)说,一个有效的概念证明已经开始公开传播。
“虽然我们决定不公布全部漏洞,但我们知道安全部门很快就会公布一个完整的漏洞,”禁卫军的研究人员周二写道。
事实上,对于许多组织来说,打补丁是一个缓慢的过程。黑客们依赖于许多多年前修补过的臭名昭著的漏洞,但这些漏洞仍然经常出现在受害者的网络中,足以在攻击中发挥作用。一些公司可能没有资金或专门技术来进行重大升级或迁移到云计算。此外,关键的基础设施、医疗保健和其他部门有时根本无法进行重大的系统更改或放弃遗留服务。Red Canary的Nickels表示,公开扫描显示,仍有1万多台交易所服务器容易受到攻击。但她补充说,很难得到一个精确的数字。
曼迪昂特公司的胡尔特奎斯特说:“我认为我们都很关心目前正在建立的概念验证。”“它们可能有一些安全方面的好处,但它们也将被用来对付许多资源不足的组织。”
为了帮助那些无法立即更新Exchange服务器的组织,微软周一发布了针对旧版本和不受支持版本的额外紧急修复程序。不过,该公司非常强调,这些额外的补丁只包含与正在被积极利用的四个漏洞相关的更新,不会追溯更新那些已弃用的Exchange Server版本。Exchange团队写道:“这只是一种临时措施,现在可以帮助您保护易受攻击的机器。”“你仍然需要更新。”
卢塔安全咨询公司(Luta Security)的创始人凯蒂•穆苏里斯(Katie Moussouris)表示:“为了找到漏洞,所有补丁都会被逆转,这是一个现实。”Moussouris是微软主动保护计划(Microsoft Active protection Program)的发起者之一,该计划是一种机制,公司使用该机制提前向可信任的组织发出漏洞警告——试图在补丁发布后在军备竞赛中领先。
随着事件响应人员努力修复由Exchange服务器漏洞引起的感染,并为可能出现的下一波黑客攻击做好准备,他们也在反思最近发生的一系列高调且广泛的黑客攻击活动。在微软交换服务器之前,有太阳风。在太阳风之前,有Accellion。这三种情况仍在造成持续的痛苦。但是,尽管研究人员强调,这些事件的规模和范围很重要,但他们不愿就它们的更大意义仓促得出结论。
“我认为这里存在一些近因偏差,因为我们都在经历这一切,我们都有点累,精疲力尽,而且有一场流行病,”Red Canary的Nickels说。“但以前也有过多重重大漏洞。只要很多人使用的产品存在漏洞,情况就非常糟糕。”
随着普通犯罪分子利用新版本的民族国家工具进行逆向工程,情况只会变得更糟。
