綜合外媒報導,微軟 (MSFT.US) 周一 (21 日) 證實,其 SharePoint 文件協作平台出現「零時差」(Zero Day) 資安漏洞,已遭駭客大規模攻擊,受害對象涵蓋多個國家政府機構、銀行、醫療與產業企業,恐波及上千台伺服器。資安專家指出,這起事件極可能由單一駭客組織發動,並具備持續入侵與資料竊取風險。
微軟上周六 (19 日) 發出緊急資安通報,表示攻擊主要針對內部部署「On-Premise」版本的 SharePoint,而雲端版本 Microsoft 365 並未受到波及。該公司已釋出兩個版本的修補更新,惟 2016 年版本目前仍無修補方案。美國聯邦調查局 (FBI) 表示已掌握此事,並正與其他政府及私部門密切合作。
漏洞允許未授權存取 可遠端執行攻擊程式碼
根據美國資安與基礎設施安全局 (CISA) 聲明,這項漏洞允許未經授權的使用者取得 SharePoint 系統完整存取權,並可遠端執行程式碼、擷取帳號密碼,甚至植入後門程式持續滲透系統。CISA 警告此攻擊對所有組織構成高度風險,呼籲用戶盡快修補並全面檢查系統。
歐洲資安公司 Eye Security 認為,該漏洞特別危險之處在於,即便伺服器已修補,駭客仍能透過已建立的後門繼續冒用用戶身分登入,持續竊取敏感資料或加密金鑰。該公司表示自己是首個發現這項漏洞的單位。
Palo Alto Networks(PANW.US) 威脅情報部門表示:「這些攻擊是真實且持續進行中的,對全球數千家組織構成嚴重威脅。」其技術長 Michael Sikorski 補充,駭客一旦入侵,便會立即進行資料外洩、部署後門與竊取加密憑證,顯示此事件已不只是單一攻擊,而是系統性滲透。
單一駭客組織可能主導全球行動 數千台伺服器恐遭入侵
英國資安公司 Sophos 的威脅情報主管 Rafe Pilling 表示,根據目前掌握的攻擊模式與工具一致性,初步判斷此次事件由單一攻擊者發動。但他也提醒,情勢可能迅速變化,其他駭客集團可能趁勢加入攻擊。
資安搜尋引擎 Shodan 的數據顯示,目前全球上線中的 SharePoint 伺服器中,有超過 8,000 台可能已遭到滲透,其中包括工業企業、銀行、會計師事務所、醫療機構,以及多個美國與國際層級政府機構。
英國資安顧問 Card 建議企業採取「假設已遭入侵」的態度處理此事件,並強調僅安裝修補程式仍不足,應全面調查可疑活動並更改機敏憑證。他指出,SharePoint 通常與 Outlook、Teams 等微軟其他服務相連結,因此一旦入侵,將可能連鎖波及整個企業內網。
另外,阿拉斯加航空 (Alaska Airlines)(ALK.US) 周日一度因 IT 異常短暫停止地勤運作近三小時,儘管該公司未說明是否與此次攻擊事件有關,但時機敏感引發外界聯想。
(美股為即時串流報價; OTC市場股票除外,資料延遲最少15分鐘。)新聞來源 (不包括新聞圖片): 鉅亨網