【資安快訊】65台Exchange Server遭駭客入侵並植入鍵盤側錄程式，企圖竊取使用者帳號與密碼資訊

資安公司 Positive Technologies 發現，駭客針對全球至少 65 台 Microsoft Exchange Server 展開攻擊，並成功在 Outlook Web Access（OWA）登入頁植入鍵盤側錄工具（Keylogger），試圖竊取使用者帳號密碼。此次攻擊已持續超過一年，受害範圍涵蓋 26 個國家，其中以越南、俄羅斯與台灣最為嚴重，受害單位包括政府機關、IT 公司、工業與物流業者。
攻擊者透過將惡意 JavaScript 程式碼注入至 OWA 頁面，例如登入按鈕元件，偽裝成正常操作邏輯，誘使使用者在登入時不自覺將帳密資料送出。被側錄的資料會儲存在 Exchange 主機本地特定路徑，或傳送至駭客控制的遠端伺服器。這類攻擊多利用已知但未修補的 Exchange Server 漏洞，包括 CVE-2021-34473、CVE-2021-31207 等，顯示許多組織未定期維護更新系統。
為降低風險，資安專家建議立即修補 Exchange 系統已知漏洞、啟用 MFA 強化登入驗證，並透過網站內容安全政策（CSP）等方式防範惡意程式碼注入。同時，應定期稽核登入頁面完整性，監控可疑的外部請求與異常登入行為，避免帳密資料在未察覺下遭到竊取。此次事件再次凸顯即便是內部應用入口，如 OWA，也可能成為駭客入侵與竊資的破口，企業應全面審視並強化資安防線。
強化漏洞管理與修補機制，避免成為攻擊跳板。 

資安建議：
1. 立即修補漏洞：儘速安裝所有已知 Exchange Server 安全更新（特別是 CVE-2021-34473、CVE-2021-31207 等關鍵漏洞）。
【Atera／IT服務管理解決方案 】 提供的遠端管理平台包括漏洞管理與修補功能，可以自動化修補過程以及進行漏洞掃描，對於中小型企業來說是個便捷的選擇。
2. 導入 WAF 或反惡意行為代理
【Penta Security WAPPLES／WAAP安全解決方案】企業級 Web 應用程式防火牆（WAF），透過行為分析與規則比對技術，辨識並阻擋各種 Web 層攻擊，確保網站與 API 的安全性與合規性。
3. 偵測並阻擋可疑注入或鍵盤側錄活動的 HTTP 流量。
【ESET ／企業資安解決方案】ESET Mail Security 是 ESET 專為 Microsoft Exchange Server、IBM Domino 及 Linux 郵件伺服器 所設計的 電子郵件防護解決方案。ESET Endpoint Security 啟用瀏覽器防護、加密的記憶體防護、鍵盤防護。

原文出處：【iThome新聞】65臺Exchange Server遭鎖定，駭客埋入鍵盤側錄工具，企圖挖掘用戶帳密資料