微軟Exchange中的四個零日漏洞被至少10個高級持續性威脅(APT)的黑客組織盯上了，他們在橫跨115個不同國家的約5000台服務器上安裝了Web shell後門，這種惡意程序允許通過Web瀏覽器遠程控制服務器。上週，微軟Exchange服務器中的四個漏洞成為新聞焦點，當時我們聽說一個黑客組織針對約3萬個美國政府和商業組織的電子郵件服務器發起了攻擊。

這些漏洞已經被微軟打了補丁，但這個被稱為”Hafnium”的黑客組織卻加倍努力，繼續針對未打補丁的服務器窮追不捨。

安全研究公司ESET發現，隨後至少有10個APT組織正在利用這些漏洞，試圖入侵世界各地的服務器。Winniti Group、Calypso、Tick等都是被發現參與此事的黑客團體。

各個國家的Webshel​​l檢出比例（2021-02-28至2021-03-09）

隨後安全人員還發現了黑客藉此展開勒索軟件傳播，試圖利用Exchange服務器上緩慢的補丁速度，讓攻擊速度”每隔幾個小時就會增加一倍”。一種名為”DearCry”的勒索軟件正在對未打補丁的Exchange服務器上的電子郵件進行加密，之後要求受害者支付費用以釋放被劫持的數據。

應該如何應對？

企業和組織應該緊急使用微軟的更新為其服務器打補丁，然後再仔細檢查日誌，看看是否已經被安裝了Web shell。

為了進一步保護服務器，建議使用Exchange郵件系統的組織限制用戶的網絡訪問（例如通過虛擬專有網或者設定防火牆規則）。這可以保護服務器免受當前的漏洞，以及未來幾年不可避免地出現的任何漏洞的影響。