2021年1月,多起全球性网络攻击瞄准了微软Exchange Server 2010、2013、2016及2019版本的漏洞。Exchange Server代理登录漏洞使攻击者无需身份验证即可读取物理本地Exchange服务器的电子邮件。 更严重的是,该漏洞为多阶段攻击提供了路径——攻击者可利用其他漏洞逐步渗透,最终彻底攻陷受害者的邮件服务器。
微软于2021年3月2日发布更新以修复漏洞。然而十天后,该公司宣布勒索软件已部署至最初受感染的服务器。该勒索软件加密文件并使其无法使用,直至收到付款。事实上,多个受Exchange Server漏洞影响的组织——如ACER、布法罗公立学校和莫尔森库尔斯饮料公司——均报告遭遇了后续的REvil勒索软件攻击。
当然,这种高度复杂的攻击可能引发疑问:Exchange Server漏洞是否最终会通过供应商、供货商及其他第三方渠道影响贵公司。
| 问题 | 可能的对策 |
|---|---|
| 1) 该组织是否受到近期微软Exchange ProxyLogon漏洞的影响?
(请选择一项) |
a) 是的,我们确实受到了近期微软Exchange ProxyLogon漏洞的影响。
b) 不,我们并未受到近期微软Exchange ProxyLogon漏洞的影响。 c) 该组织尚不确定自身是否因近期微软Exchange ProxyLogon漏洞受到影响。 |
| 2) 该组织是否已对受影响系统实施了微软近期发布的补丁?
(请选择一项) |
a) 是的,该组织已获取、测试并成功安装了微软发布的补丁。
b) 不,该组织尚未获取、测试并安装微软发布的补丁。 c) 该组织无法安装微软提供的更新。 |
| 3) 若该组织无法安装推荐的更新,是否已根据微软提出的《服务器漏洞缓解措施》采取以下行动?
(请选择所有适用选项) |
a) 实施IIS重写规则以过滤恶意HTTPS请求。
b) 禁用统一消息服务(UM)。 c) 禁用 Exchange 控制面板 (ECP) 虚拟目录。 d) 禁用脱机地址簿 (OAB) VDir。 e) 该组织无法实施微软建议的任何缓解措施。 |
| 4) 若该组织无法安装推荐的更新或实施微软建议的缓解措施,是否已采取以下行动?
(请选择所有适用选项) |
a) 阻止对 Exchange 服务器 443 端口的不可信连接。
b) 若已部署安全远程访问解决方案,则仅需配置Exchange通过该方案实现远程访问。 |
| 5) 该组织是否已按照微软的指导建议,主动在系统中搜索入侵证据?
(请选择所有适用选项) |
a) 该组织正在使用《响应者指南:调查和修复本地 Exchange 服务器漏洞》来协助修复工作。
b) 该组织已部署微软Exchange本地缓解工具(EOMT),用于识别系统中是否存在遭入侵的证据。 c) 该组织已参考美国网络安全与基础设施安全局(CISA)和联邦调查局(FBI)发布的TLP WHITE咨询文件,作为进一步调查和缓解漏洞的依据。 |
| 6) 组织是否制定了事件调查和响应计划?
(请选择所有适用选项) |
a) 组织有成文的事件管理政策。
b) 事件管理政策包括报告信息安全事件和薄弱环节的规则。 c) 作为事故调查和恢复工作的一部分,制定事故响应计划。 d) 事故响应计划包括向内部各方升级的程序和与客户沟通的程序。 |
| 7) 谁被指定为联络人,能够解答其他问题? | 姓名: 职位: 邮箱: 电话: |
| 8) 此漏洞对客户系统和数据的影响程度如何?
(请选择一项) |
a) 此漏洞未对客户系统或数据造成任何影响。
b) 此漏洞对客户系统或数据的影响较小。 c) 此漏洞将对客户系统或数据造成重大影响。 d) 此漏洞已对客户系统或数据造成重大影响。 |
三重防护层级,防范第三方数据泄露
微软Exchange ProxyLogon漏洞事件再次警示我们:要减轻针对第三方供应商的攻击影响,必须构建多层防御体系,兼顾主动与被动检测机制。我们认为以下三个层面的防护至关重要:
1. 监控第三方违规披露情况
建立对第三方数据泄露披露、新闻动态以及监管和法律文件的持续监控是关键的第一步,这能提供安全漏洞可能发生的定性指标。然而,仅通过监控新闻网站、社交媒体动态或接收RSS订阅的每日更新,无法实现对这类公告影响的量化分析或采取有效应对措施。 正因如此,寻求集中化服务提供的定性洞察至关重要——这类服务涵盖数十万公共及私有数据源,并能将信息整合至统一的风险登记簿中。
2.监测其他网络安全漏洞的迹象
对面向公众的供应商网站资产进行漏洞扫描,只能揭示其(以及您)所面临风险的一小部分。要深入挖掘,需同时监控犯罪论坛、洋葱页面、深网暗网的特殊访问论坛、威胁情报源、泄露凭证粘贴网站,以及安全社区、代码仓库和漏洞数据库。 然而如前所述,即便仅针对高阶供应商,独立监控这些活动仍过于复杂且耗时。更优方案是将此类工作集中于单一服务平台——该平台既能持续监测网络安全情报,又能根据发现结果自动触发修复措施。
3. 通过快速响应增强特定时间点的评估
SolarWinds、Accellion,如今又轮到Microsoft Exchange。 影响第三方的高调安全事件和破坏性数据泄露事件正呈上升趋势。然而,许多组织难以从供应商处及时获得影响通知。这会延迟风险识别和缓解,最终导致不必要的风险暴露。原因何在?现有的供应商事件通知方式高度依赖人工操作,既无法让第三方量化风险,也无法为事件提供有意义的背景信息,更缺乏可执行的补救指导来启动风险缓解流程。
贵组织如何帮助供应商加速事件通知流程?通过可定制的事件问卷评估供应商——该问卷由事件自动触发,支持供应商主动提交评估报告,并提供规范性补救指导,从而快速识别安全事件并减轻其影响。
通过浏览新闻推送或通过电子邮件交换电子表格,这些都无法实现。集中式评估平台能够自动化执行关键任务,快速发现、量化并修复供应商漏洞带来的风险——同时避免让您的团队不堪重负。
下一步工作
请务必下载《第三方Microsoft Exchange Server ProxyLogon漏洞评估》PDF文件。我们希望该问卷能为您提供一定保障,确保您的供应商和合作伙伴已实施必要控制措施来应对这一关键漏洞。
由于针对此漏洞的网络攻击已演变为包含勒索软件,请务必同时下载Prevalent的免费勒索软件评估工具,以识别可能影响贵组织应对类似勒索软件威胁准备度的即时漏洞。
尘埃落定后,请谨记Prevalent提供第三方风险管理平台,内含60余份问卷模板,旨在帮助您自动化处理供应商评估的繁琐任务,并通过持续的网络安全与数据泄露监测强化评估结果。立即联系我们,安排战略研讨会。
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
