微软Exchange漏洞事件 缺的不是“药”而是“疫苗”

北京时间3月3日，微软打破每月第二周发布安全更新的惯例，紧急发布Microsoft Exchange Server的安全更新，其中包括4个高危0day漏洞。


消息一出，引起国内外轩然大波。就在用户缓慢部署更新的这几天，黑客对暴露在互联网上未修补的Exchange服务器展开了疯狂进攻。据KrebsOnSecurity报道，黑客已经窃取了全美至少3万家机构的电子邮件，受害者包括美国银行、信用社、非营利组织、公共事业、电信提供商以及警察、消防和救援单位。

CNVD漏洞平台3月8日发布公告称，我国大陆地区共有27825个IP（IP端口）开启了Exchange服务，平台以其中一个漏洞（CVE-2021-26855）为例开展漏洞普测工作，显示我国大陆地区共有1466台服务器（IP端口）存在该漏洞，受影响比例约为5.3%。

随着控制邮件服务器代码的曝光和传播，预计接下来的攻击还会持续发酵。几枚漏洞是如何发展成波及面如此之广的大型安全事件的，安全419就此采访了杭州虎符网络有限公司技术专家侯汉书，以期为潜在受害企业用户提供一些有益的启发。

漏洞事件撕开了企业应用暴露在网上的尴尬现状

侯汉书告诉我们，Exchange Server是微软的一套电子邮件服务组件，除电子邮件外还提供会议安排、日程及任务管理等应用，是个消息与协作系统，在全球各大企业中都有广泛应用。加之这次的漏洞覆盖了Exchange服务器的2010、2013、2016、2019版本，基本涵盖目前市面上在使用的大部分主流版本，因此漏洞影响面相当广泛。

这四个0day漏洞包括服务端请求伪造漏洞、反序列化漏洞及任意文件写入漏洞，攻击者通过组合利用的方式，可以绕过Exchange服务器的身份验证至完全拿下服务器控制权，上传任意文件到服务器上继续执行其他高危操作，因此漏洞危害相当巨大。

侯汉书分析，Exchange漏洞为APT攻击打开了大门，入侵者有可能在服务器上植入定时炸弹，就此在目标中潜伏下来，以寻求恰当的时机发动大规模攻击。也因此，即使已有补丁和检测工具，对于成千上万的潜在受害组织来说，检测和清理过程将是一项巨大的工程。更别说截止到上周五，微软方面表示只有10%的易受攻击的设备安装了补丁。

微软在此次事件中的响应是非常及时的，安全公告一直在持续更新，陆续发布缓解措施及修复方案帮助潜在受害者判断和解决问题。但总体来说，这依然是亡羊补牢式的被动应急，在攻击已经发生并蔓延的当下，补救效果尚不可知。

伴随“云大物智移”时代的到来，企业的业务广泛部署于云端和本地，各种服务的形态不同、位置不同、交互方式也不同，企业的员工开启移动办公、外包商接入企业内网等的场景和时间也越来越多，企业的边界日渐模糊，传统的防护正在失效，以APT攻击为代表的高级威胁经常能够找到突破口。

令人为难的是，为了保证业务的开展和使用的便利，企业很多时候不得不将应用和服务开放在公共网络上；而在各种攻击手段迅猛进化的现在，攻击者通过找到各种漏洞突破企业的防护边界几乎是一种必然。侯汉书认为，面对这样越来越频发的漏洞风险，企业需要做一场攻防理念的转变。

建立免疫系统 学会与狼共舞

“既然不能因噎废食，学会与狼共舞便是在这个时代必须要学会的事”，侯汉书说。他表示，我们要学会在一个不可信任的网络环境中建立一套安全的系统，来保证我们的服务和应用，还能够正常地对外开放。

无论每一次安全风险的细节几何，我们总体上可以归为外部攻击和内部威胁两大类。外部攻击即攻击者通过各种方式突破防线成功访问到企业的应用，进入内网为非作歹。如果攻击者根本看不到企业的服务，那他自然就攻不进来。以这次Exchange漏洞攻击为例，利用漏洞的第一步往往就是运用扫描工具或资产测绘手段去探测网络上的Exchange服务，找到之后进行身份的绕过以及更深层的操作。

因此我们可以通过技术手段将服务隐藏起来，对需要访问的人员、接口、系统等进行验证后方可使用，而对于未被验证的可疑角色进行服务隐藏，堵死入侵的源头，将传统的“先访问后验证”转变为“先验证后访问”的模式，最大程度上收缩业务系统的资产暴露面，实现业务系统“隐身”。

对于内部威胁来说，由于内网是传统防护体系中本就被信任的对象，因此内部威胁正在发展为一种比外部攻击更难以防范的攻击手段，许多数据的滥用及泄露就是拥有权限的内部人员有意或无意的行为造成的。对于已经授权可以访问应用的角色，应基于最小化权限策略，按需对其授权资源进行授权，同时通过用户身份信息、终端环境信息、访问应用、请求信息等多个维度保持常态化验证，结合风险和敏感数据审计结果进行综合风险评估分析决策，动态调控用户的访问权限。换句话说，我们不仅要确认“你是谁”，还要持续地确认“你有没有变心”。


这也就是零信任思想中提倡的Never Trust, Always Verify（永不信任，永远验证）。据了解，虎符网络目前在做的，便是秉承零信任理念打造一套身份网络，满足企业对私有资源安全访问的需求，收敛企业互联网服务的暴露面。

侯汉书表示，现在的地下黑产等黑客组织，他们所做的攻击往往会比我们所做的防御手段领先一步，某种程度上，没有攻不破的系统。当生病了之后才去医治，病情的恶化可能会超过我们能承受的范围，事前就建立起免疫系统进行预防，才是更周全、更可控的策略。

“零信任是我们目前实践的一条能解决当前安全风险的有效路径，我们希望更多的企业用户认清安全形势，转变攻防思路，逐步去优化改进自身的安全建设，让Exchange漏洞攻击这样的风险真正离我们远去”，侯汉书说道。