Log4j 零日安全漏洞（也稱為Log4Shell），是互聯網上破壞力最驚人的漏洞之一。 每家互聯網公司都在爭先恐後地修補這個問題，防止駭客利用它。 但是，公司需要時間來修復這個問題。

你無法妥善保護免受Log4j攻擊

安全研究人員看到數以千計的人試圖利用Log4j駭客技術進入計算機系統。 而關於這個駭客的最糟糕的事情是，即使駭客沒有明確針對你，你也可能受到影響。 而且，最糟糕的是，你沒有辦法保護自己。

PegASUS零日漏洞被發現之後，蘋果緊急發佈了補丁進行修復，使用者只需要安裝 iOS 和iPadOS 更新就可以了。 幾年前，當 Spectre 晶片漏洞出現的時候，由晶片製造商以及在其上運行操作系統的公司來發佈修復程式。 但在 Log4j 駭客事件中，沒有任何一個iPhone、Android、Windows或 Mac 的修復程式可以修補該漏洞並減輕你的擔憂。

正如我們已經看到的，駭客可以影響像微軟的 Minecraft 遊戲這樣的程式。 駭客通過應用內的聊天系統發送幾行文字來接管電腦。 而微軟修補了這個漏洞。 但任何提供互聯網服務和互聯網連接產品的公司都面臨風險。 每家公司都必須更新其伺服器，以便攻擊者無法採用Log4j駭客。 該漏洞問題允許駭客繞過限制，不需要密碼就能進入計算機系統。

從那裡，他們可以遠端運行代碼，使他們能夠監視這些公司，竊取資訊和或金錢。 這些公司的客戶可能會受到傷害，這始終是這種駭客攻擊的風險。 但最終使用者不能自己修補Log4j漏洞。

對於Log4j駭客來說，這不是點擊錯誤的連結並在你的電腦上下載惡意程序這麼簡單。 這一切都不在你的掌握之中。 儘管你可能很精通互聯網，但沒有辦法防止駭客攻擊你的某個互聯網公司的客戶。

根據Check Point研究人員對Log4j駭客的觀察，攻擊者每分鐘都有超過一百次的嘗試來利用Java日誌工具的漏洞。 在Log4Shell被披露后的幾天里，Sophos檢測到數十萬次嘗試。

你可以做什麼來解決這個問題

微軟已經觀察到涉及在伺服器上安裝加密貨幣挖掘惡意軟體的攻擊。 另外，一些駭客試圖在脆弱的系統上安裝Cobalt Strike，這可能導致駭客竊取使用者名和密碼。 該公司還詳細介紹了可以防止Log4j駭客攻擊的 Microsoft 365 Defender 功能。 但這對大多數人來說可能還不夠好，畢竟這隻涵蓋了 Windows 和 Linux。 而其 IT 團隊應該在伺服器和計算機系統中採用修復措施。

終端使用者能做的是注意他們的互聯網屬性。 你應該繼續為你的服務使用強大、獨特的密碼。 為敏感的應用程式和管理訪問在線金融交易的電子郵件添加雙因素認證。 留意這些敏感帳戶的可疑活動，無論是電子郵件還是家庭銀行應用程式。

你也可以與你的組織的 IT 部門檢查，確保他們知道 Log4j 漏洞是什麼，並且需要修復。 同樣地，你可以聯繫其他科技公司，看看他們正在做什麼來保護你。 另一方面，向客戶代表逼問他們可能沒有的答案也沒有用。

當你在做這件事的時候，把你設備上的所有軟體更新到現有的最新版本。 這包括作業系統和應用程式。 當這些公司部署Log4j的修復程式時，你要確保你盡可能快地得到它們。

安全研究人員幾天前說，需要時間來觀察Log4Shell攻擊的危害。 這仍然是事實。 而且，在我們等待的過程中，我們可能會得到更多關於如何保護自己免受Log4j駭客攻擊的資訊。