消息来源：至少30K美国组织被一个积极的中国间谍集团在微软的Exchange Server中剥削了未分样的缺陷。

美国至少有30,000个组织 - 包括大量小型企业，城镇，城市和地方政府 - 在过去的几天内被一个异乎寻常的侵略性的中国网络间谍单位被重视，专注于从受害者组织窃取电子邮件消息来源告诉克鲁斯的安全。 EspioGage集团正在利用Microsoft Exchange Server电子邮件中的四个新发现的缺陷，并使用提供攻击者的工具，遥控对受影响系统的攻击者提供数十万名受害者组织。

3月2日，Microsoft发布了紧急安全更新，以插入2013年至2013年的Exchange Server版本中的四个安全漏洞，即Hackers正在积极地使用来自互联网的系统运行交换的Siphon电子邮件通信。

在此后三天，安全专家表示，同样的中国网络间谍集团大大加强了全世界任何易受攻击的未被攻击的交换服务器的攻击。

在每个事件中，入侵者都留下了“Web shell”，这是一个易于使用的密码保护的黑客工具，可以通过任何浏览器通过Internet访问。 Web shell为受害者的计算机服务器提供了攻击者的管理访问权限。

关于透露姓名的条件，两个网络安全顾问对攻击的国家安全顾问告诉Krebsonsecurity，中国黑客集团认为负责人在全球的Microsoft Exchange服务器中扣押了“数十万” - 每个受害者系统代表大约一个使用交换处理电子邮件的组织。

微软表示，交换缺陷是由以前未认出的中国喧嚣的人员被称为“Hafnium”的目标，并表示，该集团一直在对一系列行业部门使用的电子邮件系统进行目标攻击，包括传染病研究人员，律师事务所，更高教育机构，国防承包商，政策思维坦克和非政府组织。

微软对交易所缺陷贷记旧版的初始咨询，VA。基于庞大的庞大报告漏洞。 Volexity总统史蒂文·阿特斯特表示，该公司首先看到攻击者悄然利用2021年1月6日的交换虫，当时世界大多数世界上大多数世界都粘在美国国会大厦骚乱的电视覆盖范围内。

但是，Adair表示，在过去的几天里，黑客组已经转变为高档，迅速移动，扫描互联网，以便在周二发布的安全更新中尚未保护的Exchange服务器。

“到目前为止，我们已经曾在几十次案件上工作了，其中，在28日，在受害者系统上返回受害者系统的情况下，在微软之前宣布其修补程序之前，一直到今天，”Adair说。 “即使您在同一天修补过Microsoft发布了其补丁，您的服务器上还有一段很高的机会。事实是，如果你正在运行交换，你还没有修补这个，你的组织已经损害了很大的机会。“

达成评论，微软表示，它与美国网络安全与美国密切合作;基础设施安全局（CISA），其他政府机构和保安公司，以确保其为其客户提供最佳指导和缓解。

“最好的保护是在所有受影响的系统中尽快应用更新，”Microsoft发言人在书面陈述中表示。 “我们继续通过提供额外的调查和缓解指导来帮助客户。影响客户应联系我们的支持团队以获得其他帮助和资源。“

同时，CISA发布了紧急指令，订购所有联邦平民部门和机构运行易受攻击的Microsoft Exchange服务器，以更新软件或断开产品与网络的连接。

Adair表示，他今天从州和地方政府机构那里展示了几十个，这些政府机构在他们的交换服务器中发现了后门，并恳求帮助。麻烦是，修补缺陷只会阻止黑客使用的四种不同方式来进入。但它没有什么可以撤消已经完成的损坏。

白宫新闻秘书Jen Psaki今天告诉记者，今天在微软广泛使用的交换服务器中发现的漏洞是“重要的，”和“可能产生深远的影响”。

“我们担心有大量受害者，”Psaki说。

通过所有账户，脱掉这些入侵者将需要一个前所未有的和紧急的全国性的清理努力。 Adair和其他人表示他们担心受害者删除后门所需的时间越长，而且侵入者将通过安装额外的后门跟进，也许扩大攻击包括包括受害者网络基础设施的其他部分。

安全研究人员已发布几种用于检测弱势服务器的工具。其中一个工具，来自微软Kevin Beaumont的脚本，可从GitHub获得。

Kresonsecuritysecurity已经看到通过运行此类工具编译的受害者列表的部分，而且它不是漂亮的图片。返回后门网壳可判断数千名美国组织的网络，包括银行，信用合作社，非营利，电信提供商，公用事业和警察，火灾和救援单位。

“这是警察部门，医院，大量的城市和州政府和学分，”一个与联邦官员密切合作的一个来源。 “只是关于运行自主托管的Outlook Web Access的每个人，并且截至几天前没有修补，归零于零日攻击。”

另一个政府网络安全专家参加了最近召开了这种黑客狂欢的利益攸关方的呼吁担心所需的清理努力将是赫拉利亚。

“在呼叫中，许多问题来自学区或地方政府，所有人都需要帮助，”消息人士说，按照命名没有识别出来。 “如果这些数字处于成千上万的数量，事件响应如何完成？很快就没有足够的事件响应队员来做到这一点。“

Microsoft在周二发布了四个Exchange Server漏洞的修补程序时，Microsoft强调该漏洞不会影响运行其Exchange Online服务的客户（Microsoft为企业的云托管电子邮件）。但消息人士表示，到目前为止，迄今为止的绝大多数组织正在运行某种形式的互联网上的Microsoft Outlook Web Access（OWA）电子邮件系统，在内部与Exchange服务器进行串联。

“这是一个值得询问的问题，微软的建议将是什么？”政府网络安全专家说。 “他们会说'补丁，但要去云更好。'但他们如何保护他们的非云产品？让他们在葡萄藤上枯萎。“

政府网络安全专家表示，这一最近一轮的攻击是通常归因于中国的民族级别黑客的各种攻击，这倾向于相当专注于损害特定的战略目标。

“它的鲁莽”，消息人士说。 “似乎是中国行动者的性格，这是这种不分青红皂白。”

微软已表示，遗漏遗漏易受攻击服务器的疫苗无论是与单独的SolarWinds相关攻击无水，其中一个可疑的俄罗斯智能组在18,000多个组织使用的网络管理软件中安装了返回的网络管理软件。

“我们继续看到没有证据表明Solarwinds背后的演员发现或利用了Microsoft产品和服务中的任何漏洞，”该公司表示。

尽管如此，过去几天的事件可能会最终黯然失色，令人生畏的造成太阳能侵入者所做的损坏。

这是一个快速移动的故事，并且可能会在一天内多次更新。敬请关注。

更新，下午8:27。 et：有线网络安全报道者Andy Greenberg已确认听证会在本报告中引用的相同数量的受害者：“这是巨大的。绝对庞大，“一个以前的国家安全官员，了解调查告诉有线。 “我们正在全球每小时损害成千上万的服务器。”在这里阅读格林伯格的账户。

此外，CISA的第一个和前任主任Chris Krebs（无关系）似乎在推特上暗示，这里引用的受害者数字是保守的（或已经过时）：

更新8:49下午8:49。 ET：包含一个链接到其中一个推荐的工具，用于查找容易受到此攻击的系统。

更新，晚上10:17。 ET：评论家故事中提到，这对白宫官员表示关注“大量受害者”。

更新，3月6日，10:56 A.M.ET：CISA的Twitter帐户表示，该机构“了解国内和国际对Microsoft Exchange Server漏洞的广泛利用，并敦促使用Microsoft的检测工具扫描扫描服务器日志，以帮助确定妥协。”