自一月份以來已知的微軟Exchange大規(guī)模黑客漏洞已有數(shù)年之久

好像去年影響到微軟的SolarWinds駭客還不夠糟糕，對(duì)于信息安全行業(yè)來說，今年似乎開局非常糟糕。全球范圍內(nèi)的Microsoft Exchange Server受到了威脅，并將電子郵件泄漏給了不僅僅是國(guó)家贊助的黑客。不幸的是，如果微軟沒有等兩個(gè)月來塞住它已經(jīng)知道的安全漏洞，這可能已經(jīng)被阻止或至少得到緩解。

安全研究人員一直在努力尋找計(jì)算機(jī)和軟件系統(tǒng)中的漏洞，幸運(yùn)的是，真正優(yōu)秀的人員會(huì)立即將其發(fā)現(xiàn)報(bào)告給開發(fā)人員和所有者。這并不意味著后者會(huì)立即采取行動(dòng)，特別是在大型，復(fù)雜的軟件(例如Windows或Microsoft Exchange)上。有些人甚至可能出于某種原因而推遲采取后續(xù)行動(dòng)，這可能使微軟付出的代價(jià)超過其聲譽(yù)。

根據(jù)Krebs on Security的最新報(bào)告，最早在今年1月5日就報(bào)告了在全球范圍內(nèi)暴露的Microsoft Exchange Server的漏洞，并已由獨(dú)立的安全研究人員證實(shí)。盡管微軟確實(shí)承認(rèn)了這些報(bào)道，但要過一個(gè)月才能說出此事已經(jīng)升級(jí)。然后，它將宣布在3月9日的下一個(gè)“星期二補(bǔ)丁”中修復(fù)漏洞。

微軟可能已經(jīng)意識(shí)到這些漏洞的嚴(yán)重性，并決定于3月2日發(fā)布針對(duì)四個(gè)零日漏洞的補(bǔ)丁程序。但是到那時(shí)，已經(jīng)太遲了，因?yàn)樵诿绹?guó)已經(jīng)有30,000個(gè)組織因通過這些漏洞安裝的后門而受到損害。事情變得如此糟糕，以至于白宮也就使用這些修復(fù)程序的重要性以及黑客攻擊的嚴(yán)重性發(fā)表了正式聲明。

奇怪的是，Microsoft的補(bǔ)丁程序也已提供給Exchange Server 2010，這表明這些錯(cuò)誤可能已經(jīng)存在了十多年了。不幸的是，受感染系統(tǒng)的數(shù)量?jī)H在增加，中國(guó)政府資助的黑客組織Ha(Hfnium)可能不再是唯一利用可能早日被修復(fù)的漏洞的人。