最近几年有许多骇客锁定Exchange Server以外的邮件伺服器下手,例如6月初资安业者Fears Off揭露的
这波攻击行动最早可追溯至去年5月,当时研究人员察觉有人在Exchange伺服器的特定网页当中,注入键盘内容侧录工具(Keylogger),后续研究人员发现多起相关攻击事故,共通点就是使用完全相同的键盘内容侧录工具。他们进行深度分析,指出攻击者使用的恶意程式大致分成两种类型,其中一种是将窃得资料储存于受害主机,但能从外界存取,另一种则是直接将窃得资料传送到外部主机。 究竟这些键盘内容侧录工具如何运作?一旦使用者存取OWA网页并输入帐密资料,恶意程式码就会从网页表单读取并处理这些资料,向受害Exchange伺服器的特定网页发送XHR请求。最终该网页便会读取请求内容,并将资料写入伺服器上的某个档案,供骇客存取。附带一提,为了掩人耳目,这些恶意程式码通常会嵌入于合法身份验证功能clkLgn里。 值得留意的是,Positive Technologies特别提及这些Exchange伺服器存在多项已知漏洞的情况,例如:CVE-2021-31206、CVE-2021-34473、CVE-2021-34523、CVE-2021-31207,其中部分甚至存在11年前的CVE-2014-4078,这代表邮件伺服器可能长期未定期修补,而让攻击者有机可乘。