FBI 主動(dòng)遠(yuǎn)程幫助受害者移除植入在 Microsoft Exchange 服務(wù)器上的后門

今年一月和二月，有黑客組織利用 Exchange Server v2013 到 2019 中的四個(gè) 0day 漏洞，訪問(wèn)服務(wù)器上的電郵賬號(hào)并留下后門 web shell 用于后續(xù)訪問(wèn)。上個(gè)月，微軟披露了這一安全事件，并釋出了補(bǔ)丁修復(fù)了漏洞。但在披露之后，黑客組織增加了對(duì)尚未修補(bǔ)的 Exchange 服務(wù)器的攻擊，有數(shù)以萬(wàn)計(jì)的美國(guó)機(jī)構(gòu)遭到了入侵。大部分受到影響的系統(tǒng)管理員已經(jīng)成功移除了黑客留下的后門，但還有很多人沒(méi)能移除。FBI 宣布它從法庭獲得授權(quán)，通過(guò)遠(yuǎn)程執(zhí)行命令，幫助這部分服務(wù)器移除留下的后門。這一行動(dòng)只涉及移除 web shell ，F(xiàn)BI 沒(méi)有遠(yuǎn)程為這些 Exchange 服務(wù)器打上補(bǔ)丁修復(fù)漏洞，或者搜索服務(wù)器是否還被安裝了其它惡意程序。FBI 表示將會(huì)根據(jù)聯(lián)絡(luò)信息對(duì)這些服務(wù)器發(fā)送正式的官方郵件通知，如果沒(méi)有留下聯(lián)絡(luò)信息那么它將會(huì)向其 ISP 發(fā)去通知。