Azure 受到 Exim 蠕蟲攻擊，為何雲軟體總是遭遇勒索軟體？

據外媒報道，上週五微軟向 Azure 使用者傳送了一份警告通知，稱有一種 Linux 蠕蟲正在透過 Exim 伺服器傳播，也感染了一些 Azure 基礎設施。

Azure 基礎設施受到 Exim 蠕蟲攻擊

據 Cybereason 團隊的說明：“該蠕蟲利用 CVE-2019-10149 漏洞感染了 Exim 電子郵件伺服器，這是一種安全缺陷，可以讓攻擊者執行遠端命令並接管未打補丁的系統。”蠕蟲利用漏洞接管伺服器，然後掃描網際網路上的其他伺服器，並嘗試感染它們，在當前主機上刪除加密貨幣挖掘程式。

蠕蟲的目標 Exim 伺服器是一種執行在基於 Linux 電子郵件伺服器上的軟體，用於將電子郵件從發件人轉發給收件人。

上週五，微軟表示 Azure 基礎設施受到該蠕蟲的攻擊，不過，Azure 基礎設施可以透過適當的配置來限制蠕蟲的傳播，蠕蟲無法透過掃描網際網路和複製自己來自我傳播，但是被駭客攻擊的 Azure 機器仍然會受到加密貨幣挖掘者的感染。

據瞭解，駭客利用相同的 Exim 漏洞可以在任何時候刪除 Azure 虛擬機器上的其他惡意軟體。Azure Incident Response 經理 JR Aquion 表示：“如今，蠕蟲正在積極利用這一漏洞進行活動，所以微軟安全響應中心 （MSRC） 敦促客戶遵守 Azure 安全最佳實踐和模式，修補或限制對執行受影響版本的 Exim 虛機網路訪問。”

據悉，Exim 的 4。87 版本到 4。91 版本很容易受到攻擊，所以使用者最好將執行在 Azure 機器上的 Exim 升級到 4。92。如果 Azure 系統已經被感染，一定要清除該系統，重新安裝或者從之前的備份中恢復。

為什麼基於雲的軟體總是會受到攻擊？

基於雲的應用程式因其成本效率和資料儲存更經濟，受到了絕大多數企業的歡迎，例如被訪問、傳送和儲存檔案的 Microsoft Office 365、谷歌 Drive 和 Dropbox 等平臺，用於團隊討論和協作的內容訊息應用程式，如 Slack。

雖然每種雲解決方案都宣稱其自帶“安全性”，但是使用雲應用程式，使用者資料仍然會面臨風險。因為大多數雲應用程式都是圍繞身份設計的，即誰被授予訪問雲服務的許可權，以及訪問哪些內容，它們不是用來識別和阻止勒索軟體的。

勒索軟體通常是透過社會工程活動 （如電子郵件釣魚或欺騙） 滲透到雲應用中，欺騙員工開啟惡意附件或連結，一旦開啟，員工的裝置就會受到攻擊，所有電腦檔案都被鎖定，包括與公司雲應用程式同步的檔案，如 Dropbox、OneDrive 或谷歌 Drive directory。

由於基於雲的目錄信任員工身份，受感染的檔案會自動上傳到雲上，並與其他員工的計算機同步，從而導致更多的系統被鎖定。勒索軟體在企業中傳播的容易程度和速度令許多中小企業感到震驚，尤其是那些依賴於雲應用程式提供安全性的中小企業。

更為恐怖的是，有更多的攻擊組織開始意識到攻擊中小企業比大型企業更容易，也更省時，只有入侵了足夠多的小型企業，那就等同於攻擊了一個大型企業。更容易被攻擊的企業一般具有以下特徵：缺乏安全協議、缺少 IT 人員或技術能力薄弱，採用了雲應用程式等。

如何避免被攻擊？

防患於未然永遠是上策，所以避免勒索軟體侵害的最佳途徑就是防止勒索事件的發生。所以，企業在這方面要多做一些功課，採取措施降低風險，增加安全措施，彌補雲應用程式留下的漏洞，並實時掃描電子郵件中的惡意資訊。同時，也要提高員工的防範意識，例如培訓員工遇到可疑事件應該怎麼辦。

當然，預防措施無法百分百保證不受到攻擊，所以還是要做備份工作。這樣，即使被攻擊了，我們也可以利用備份恢復到攻擊前的狀態，而無需承擔丟失所有資料的風險。

聯邦調查局提出；“如果受到了攻擊，首要原則是不要付錢給襲擊者，第二要從中吸取教育。”小企業在受到攻擊時，要採取措施確定攻擊是如何發生的、從何處發起、如何傳播的，然後在內部共享這些資訊。另外，鼓勵無個人責任的完全公開文化，允許公開討論、分享攻擊事件，並從中吸取教訓，以防止下一次攻擊。

參考連結

https：//www。information-management。com/opinion/cloud-based-apps-are-highly-vulnerable-to-ransomware-attacks