FBI 主動遠(yuǎn)程幫助受害者移除植入在 Microsoft Exchange 服務(wù)器上的后門

今年一月和二月，有黑客組織利用 Exchange Server v2013 到 2019 中的四個 0day 漏洞，訪問服務(wù)器上的電郵賬號并留下后門 web shell 用于后續(xù)訪問。上個月，微軟披露了這一安全事件，并釋出了補丁修復(fù)了漏洞。但在披露之后，黑客組織增加了對尚未修補的 Exchange 服務(wù)器的攻擊，有數(shù)以萬計的美國機構(gòu)遭到了入侵。大部分受到影響的系統(tǒng)管理員已經(jīng)成功移除了黑客留下的后門，但還有很多人沒能移除。FBI 宣布它從法庭獲得授權(quán)，通過遠(yuǎn)程執(zhí)行命令，幫助這部分服務(wù)器移除留下的后門。這一行動只涉及移除 web shell ，F(xiàn)BI 沒有遠(yuǎn)程為這些 Exchange 服務(wù)器打上補丁修復(fù)漏洞，或者搜索服務(wù)器是否還被安裝了其它惡意程序。FBI 表示將會根據(jù)聯(lián)絡(luò)信息對這些服務(wù)器發(fā)送正式的官方郵件通知，如果沒有留下聯(lián)絡(luò)信息那么它將會向其 ISP 發(fā)去通知。