FBI访问Proxylogon目标服务器以扰乱网络犯罪分子

美国司法部已授权FBI访问易受Microsoft Exchange Server Proxylogon漏洞的系统，以删除已安装的恶意Web shell。

零天脆弱性 - 这是2021年3月2021年3月从微软的紧急乐队补丁的主题 - 在一年中的前两个月内被恶意行为者进行了大量利用，以便进入前提的Exchange Server，妥协目标电子邮件帐户，并将Web shell放置以启用继续访问。

此活动在披露之后升高，具有多个组，包括一些勒索软件运算符，利用广泛的漏洞。

司法部说，虽然许多组织的IT和安全团队能够删除Web壳牌，但其他人“似乎无法这样做”，并且很多人持续存在。

这导致了现在解密的操作，其中FBI给出了Carte Blanche来解决问题，这是通过通过Web shell向受妥协的服务器发出命令来完成的问题，该命令旨在使服务器删除Web shell，这可以通过其唯一的文件路径识别。

“今天的法院授权删除恶意网络壳展示了该部门的承诺，使用我们所有的法律工具，而不仅仅是起诉，”司法部的国家安全部门的助理律师公司表示。

“与私营部门和其他政府机构的努力相结合，包括释放检测工具和补丁，我们在一起表明公私伙伴关系为我国的网络安全带来的力量。

“毫无疑问，更多的工作仍有待完成，但毫无疑问，该部门致力于在这种努力中扮演其整体和必要的作用。”

联邦调查局助理助理主任Tonya Ugoretz补充说：“这项操作是联邦调查局承诺通过我们持久的联邦和私营部门伙伴关系对抗网络威胁的一个例子。

“我们的成功行动应提醒恶意网络演员，我们将对威胁美国人民和国际合作伙伴的国家安全和公共安全的网络侵犯风险和后果。

“联邦调查局将继续使用美国作为主导国务执法和情报机构的所有工具，以举行恶意网络行动者对其行动负责。”

值得注意的是，虽然FBI操作成功地删除了它找到的Web shell，但它没有修补任何零天，或root ot over任何可能已通过网络安装的恶意软件，勒索软件或其他恶意工具贝壳。

它也没有在最新补丁周二更新中介绍4月13日4月13日披露的一套新的Microsoft交换漏洞，这是通过美国智能服务发现的。

FBI现在正在通过其公共联系信息或通过提供商（例如ISP）联系到它访问的系统的所有业主和运营商 - 这可能能够传递邮件。

ImmuniWeb的Ilia Kolochenko表示，法庭授权的行动可能是鉴于显而易见的事实，即许多服务器所有者都没有意识到服务器的存在，或者未能修补它。

“被攻击的服务器积极地用于对其他系统的复杂攻击，通过使用违规的诸如链接的代理，放大网络钓鱼运动并阻碍对其他入侵的调查，”Kolochenko说。

“因此，可以说，这种预防删除可以被认为是网络空间中的合法自卫。无论如何，黑客也不能抱怨或提出诉讼以获得无理解的入侵。

“有趣的是，FBI后来是否将消毒服务员列表转移到FTC或国家律师将军，以调查违反国家和联邦法律的坏数据保护实践。”