美國FBI將從遠端移除境內受駭Exchange Server中的惡意程式

美國境內的企業如果使用Exchange Server可能已經被駭入，但這「駭客」可能是FBI，因為它要在伺服器上移除惡意web shell。

美國司法部本周公告，FBI已獲得法院許可，主動移除美國境內Exchange Server上和ProxyLogon漏洞有關的web shell程式。

微軟於今年3月2日緊急修補的4個Exchange Server安全漏洞，包括CVE-2021-26855、CVE-2021-26857、CVE-2021-26858與CVE-2021-27065等漏洞被統稱為ProxyLogon。微軟於三月初發出第一波安全公告，指已遭到和中國政府有關的Hafnium駭客組織開採。遭到駭入的Exchange Server也會被植入web shell程式，作為日後存取、竊取郵件及攻擊等目的。

司法部指出，上萬台受感染的伺服器所有人已經成功移除web shell，但其他人似乎尚無法移除，使得數百種此類web shell程式無法獲得控制。這次行動移除了早前駭客組織遺留下來的web shell，這些程式原本會被用於持續或擴大對美國網路的非授權滲透行動。

即使FBI提供了這「服務」，但司法部仍建議使用Exchange伺服器的企業遵循微軟建議，並確實修補伺服器。

司法部說，雖然這次行動可複製並移除這些web shell，但並未修補Exchange Server的零時差漏洞，也未尋找或移除駭客可能在受害電腦及網路上使用的其他惡意程式或駭客工具。

由於每個shell具有獨特的檔案路徑及檔名，司法部補充表示，個別伺服氣的所有人可能很難找到並移除之。截至三月底，司法部發現全美伺服器上仍然有數百個惡意shell程式。

FBI計畫通知已被該局移除程式的伺服器所有人。受影響的用戶若提供了公開聯絡資訊者將會獲得由FBI發出的電子郵件通知。若通知不成，就會聯絡ISP。

「今天的法院許可顯示司法部摧毁利用美國合法工具進行的駭客活動之決心，絕不只是判決而已。」美國國家安全法務次長John Demers指出。

結合民間單位及其他政府單位的行動，包括發佈偵測工具及修補程式，我們也展現公私部門合作維護國家網路安全。

澳洲國家網路安全中心也開始對其國內Exchange Server進行掃瞄。

來源：ZDNet