微软。信用:Unsplash虽然网络外壳已经被移除,这些外壳以前为攻击者提供了访问微软交换服务器的途径,但联邦调查局透露,一些恶意软件可能仍然存在,黑客仍在将其用作受害者网络的后门。现在,美国司法当局已经开始从数百台运行内部微软交换服务器软件的计算机上复制和删除邪恶的网络外壳,以运行他们的公司电子邮件服务。
这些攻击始于2021年1月和2月,当时各种黑客发现并利用了微软交换服务器软件中的零日漏洞。黑客利用这些漏洞建立后门,并获得对这些服务器的持久访问权限,直到他们在2021年3月被抓获。甚至在最初的黑客暴露后,更多的攻击者在修补和公布这些漏洞后寻找攻击方法。
虽然这次攻击的数千名受害者设法拆除了这些后门,但数百个恶意的网络外壳仍未得到修复。对于FBI成功打捞的目标服务器,他们最终从web shell向服务器写入一条命令,在识别出shell的唯一文件路径后,触发服务器删除web shell。
到目前为止,当局对私人和公共组织加入网络安全力量以对抗这一威胁的能力表达了积极的看法。事实上,联邦调查局已经与该领域的国际同事合作,以密切关注这种性质的进一步脆弱性和威胁。
事实上,自今年3月这一攻击被曝光以来,微软及其各种合作伙伴已经做出巨大努力,为其数千名客户提供信息和工具来帮助减轻这一威胁,即使是那些服务器已经受到影响的组织也是如此。
然而,尽管许多微软交换服务器用户成功地移除了他们网络上的邪恶网络外壳,联邦调查局警告说,最初的零日漏洞仍然没有完全修补。因此,该公司建议所有受影响的组织继续监控和调查其环境中潜在的恶意存在。
此时,联邦调查局打算通知其服务器上与这些攻击相关的恶意网络外壳已被移除的所有实体。他们预计,受影响组织的网络防护者可能会遇到根据其唯一的文件名和路径检测这些恶意网络外壳的挑战。
目前,联邦调查局和网络安全和基础设施安全局已经合作成立了微软交换服务器联合咨询机构来解决这一事件。
来源:由phyica.com整理转载自PH,转载请保留出处和链接!
