FBI 清除數百個組織的 ProxyLogon WebShell

在一次網絡swat行動中，聯邦政府在沒有事先通知企業的情況下遠程清除了感染。

聯邦政府已經清除了美國數百臺易受攻擊電腦的惡意Web Shell，這些Shell已通過現在臭名昭著的ProxyLogon Microsoft Exchange漏洞進行了入侵。

ProxyLogon包含一組安全漏洞，這些漏洞會影響用于電子郵件的Microsoft Exchange Server軟件的本地版本。微軟上個月警告說，the高級持續威脅（APT）正在積極利用這些漏洞。此后，其他研究人員說，還有10個或更多的APT也正在使用它們。

ProxyLogon包含四個漏洞（CVE-2021-26855，CVE-2021-26857，CVE-2021-26858，CVE-2021-27065），可以將它們鏈接在一起以創建預認證遠程代碼執行（RCE）利用-含義攻擊者可以在不知道任何有效帳戶憑據的情況下接管服務器。這使他們能夠訪問電子郵件通信，并有機會安裝Web Shell以在環境中進一步利用，例如部署勒索軟件。

雖然補丁程序級別已加快，但這對已經受到威脅的計算機沒有幫助。

司法部在周二的公告中解釋說：“許多受感染的系統所有者成功地從數千臺計算機上刪除了Web shell 。” “其他人似乎無法做到這一點，而且數百個這樣的Web外殼仍然堅如磐石。”

這種情況促使聯邦調查局采取了行動。在法院授權的行動中，它通過Web Shell向受影響的服務器發出了一系列命令。這些命令旨在使服務器僅刪除Web Shell（由其唯一的文件路徑標識）。它沒有提前通知受影響的組織，但有關部門表示，他們現在正在發出通知。

美國司法部國家安全司助理檢察長約翰·德默斯說：“今天，法院授權刪除惡意Web外殼表明，國防部致力于使用我們所有的法律工具，不僅是起訴，來破壞黑客活動。”

聯邦調查局對ProxyLogon攻擊采取單方面行動

JupiterOne的創始人兼首席執行官鄭永康（Erkang Zheng）指出，此舉的其他技術細節尚未公開。

他在電子郵件中說：“真正令我們感興趣的是法院下令對易受攻擊的系統進行遠程修復。” “這是第一次發生，并且以此為先例，這可能不會是最后一次。如今，許多企業都不知道其基礎結構和安全狀態是什么樣子–可見性對于CISO來說是一個巨大的問題。”

New Net Technologies全球安全研究副總裁Dirk Schrader指出，FBI缺乏透明度可能會帶來問題。

他告訴Threatpost：“其中存在一些關鍵問題。” “一個是聯邦調查局說，行動是因為這些受害者缺乏清除自己的基礎設施的技術能力，另一個是，聯邦調查局打算將對搬遷本身的了解至少延遲一個月，以正在進行的調查為由。原因。”

他解釋說：“這可能會引起其他問題，因為受害者沒有機會調查訪問了哪些信息，這種安裝方法是否帶來了額外的后門安裝以及一系列其他問題。”

Horizon3.AI的客戶和合作伙伴成功總監Monti Knode指出，此舉說明了漏洞的危險性。

他在電子郵件中說：“政府的行動總是以采取行動的權威為基礎。” “通過專門喊出“受保護的計算機”并宣布它們“已損壞”，這似乎足以使聯邦調查局獲得簽署的執行該操作令的權利，而無需在執行操作之前通知受害者。盡管行動規模未知（根據法院命令進行了刪節），但聯邦調查局能夠在不到四天的時間內執行，然后公開釋放這一努力，這一事實證明了這些被利用的系統和安全隱患造成了潛在的國家安全風險。優先考慮的計劃。這不是下意識的反應。”

FBI報告說，此操作成功復制并刪除了Web外殼。但是，如果組織尚未進行修補，則仍然需要進行修補。

Denmers說：“結合迄今為止私人部門和其他政府機構的努力，包括發布檢測工具和補丁程序，我們共同展示了公私合作為我國網絡安全帶來的力量。” “毫無疑問，還有更多工作要做，但毫無疑問，新聞部致力于在這種努力中發揮其不可或缺的必要作用。”

新的Exchange RCE漏洞和聯邦警告

該消息是在4月補丁程序星期二發布之前發布的，在該補丁程序中，Microsoft顯示了Exchange中的更多RCE漏洞（CVE-2021-28480至CVE-2021-28483），這些漏洞已由國家安全局發現并報告。一個任務是聯邦機構在周五前修補他們也走了出去。

Immersive Labs網絡威脅研究總監Kevin Breen警告說，將這些武器武器化的速度可能會比平時更快，因為有動機的攻擊者將能夠使用現有的概念代碼。

他通過電子郵件補充說：“這凸顯了當今網絡安全對整個國家的重要性，以及民族國家，情報服務和企業安全之間界限的不斷模糊。” “近來，由于一系列高影響力的攻擊影響了使用良好的企業軟件，因此，美國國家安全局顯然渴望加強并發揮積極的作用。”