吳明宜美國境內的企業如果使用 Exchange Server 可能已經被駭入,但這「駭客」可能是 FBI,因為它要在伺服器上移除惡意 web shell 。
美國司法部本周公告,FBI 已獲得法院許可,主動移除美國境內 Exchange Server 上和 ProxyLogon 漏洞有關的 web shell 程式。
微軟於今年 3 月 2 日緊急修補的 4 個 Exchange Server 安全漏洞,包括 CVE-2021-26855 、 CVE-2021-26857 、 CVE-2021-26858 與 CVE-2021-27065 等漏洞被統稱為 ProxyLogon 。微軟於三月初發出第一波安全公告,指已遭到和中國政府有關的 Hafnium 駭客組織開採。遭到駭入的 Exchange Server 也會被植入 web shell 程式,作為日後存取、竊取郵件及攻擊等目的。
司法部指出,上萬台受感染的伺服器所有人已經成功移除 web shell,但其他人似乎尚無法移除,使得數百種此類 web shell 程式無法獲得控制。這次行動移除了早前駭客組織遺留下來的 web shell,這些程式原本會被用於持續或擴大對美國網路的非授權滲透行動。
即使 FBI 提供了這「服務」,但司法部仍建議使用 Exchange 伺服器的企業遵循微軟建議,並確實修補伺服器。
司法部說,雖然這次行動可複製並移除這些 web shell,但並未修補 Exchange Server 的零時差漏洞,也未尋找或移除駭客可能在受害電腦及網路上使用的其他惡意程式或駭客工具。
由於每個 shell 具有獨特的檔案路徑及檔名,司法部補充表示,個別伺服氣的所有人可能很難找到並移除之。截至三月底,司法部發現全美伺服器上仍然有數百個惡意 shell 程式。
FBI 計畫通知已被該局移除程式的伺服器所有人。受影響的用戶若提供了公開聯絡資訊者將會獲得由 FBI 發出的電子郵件通知。若通知不成,就會聯絡 ISP 。
「今天的法院許可顯示司法部摧毁利用美國合法工具進行的駭客活動之決心,絕不只是判決而已。」美國國家安全法務次長 John Demers 指出。
結合民間單位及其他政府單位的行動,包括發佈偵測工具及修補程式,我們也展現公私部門合作維護國家網路安全。
澳洲國家網路安全中心也開始對其國內 Exchange Server 進行掃瞄。
來源:ZDNet