HKCERT 呼吁微软Exchange Server的本地用户尽早修补系统保安漏洞

(香港,2021年3月25日) 为应对微软Exchange Server发现多个保安漏洞的最新情况,香港生产力促进局辖下的香港电脑保安事故协调中心(HKCERT)呼吁使用这个系统的本地用户,尽快在官方网站下载及安装相关修补程式,并就系统出现的任何异常状况进行调查,以免电邮资料被盗取、受勒索软件攻击,甚或成为殭尸网络的一部分。

微软于3月2日首次公布在数个Exchange Server内部部署 (on-premises) 版本里发现多个保安漏洞,有机会被黑客加以利用,向目标系统遥距执行程式码、安装恶意的web shell以全面控制系统,并可能透过盗取电邮资料、植入恶意程式甚或进一步入侵机构内的系统以作出持续的攻击。据悉,全球有近40万部Exchange Server,它们都可能会受影响。

其后,来自世界各地的网络保安研究人员发现,超过10个黑客组织正积极利用这些保安漏洞入侵未有安装修补程式的系统,部分黑客更藉此部署勒索软件和殭尸网络恶意软件。微软和世界各地的电脑保安事故协调中心都相继发出保安警示,呼吁用户尽早修补漏洞及检查系统有否异常。

香港方面,HKCERT于3月3日首次就该漏洞发出保安公告,并在微软发布修补程式及有鑑于事态发展后,于3月16及22日更新有关公告,并提升保安公告的风险级别至最高级别 —「极高风险」(即漏洞会对目标系统造成严重影响并且已被黑客广泛地利用)。与此同时,HKCERT亦在社交媒体发文,让伺服器的本地用户掌握事故的最新情况和潜在影响。此外,HKCERT已联络本地互联网服务供应商,通知在香港有对互联网开放的Exchange Server IP地址的用户,立刻採取补救行动。

虽然HKCERT至今未有接获本地相关的保安事故报告,然而随着全球恶意攻击数量急升,加上是次漏洞将预期出现新的威胁,HKCERT再次呼吁Exchange Server的本地用户尽快採取以下保安措施:

  • 尽快安装修补程式以堵塞漏洞。如以人手安装,用户需要拥有系统管理员权限;以及
  • 使用 Microsoft Defender Antivirus 或微软一按式Exchange On-premises Mitigation Tool (EOMT),检查及修补已存在的入侵

用户如对有关漏洞有任何疑问,欢迎通过电邮 hkcert@hkcert.org 或24小时热线电话 8105 6060 与HKCERT联络。HKCERT 会继续密切留意此漏洞的最新动态,如有进一步消息,会适时对外发布。

参考连结:

https://www.hkcert.org/tc/security-bulletin/microsoft-exchange-server-multiple-vulnerabilities_20210303

- 完 -