在持续的Microsoft Exchange Hack中击中了成千上万的美国组织

已经通过窃取管理员密码和利用电子邮件和日历应用程序的关键漏洞，运行已驾驶Microsoft Exchange服务器的Microsoft Exchange服务器，这些组织已被窃取管理员密码和利用关键漏洞。 Microsoft于周二发出紧急补丁，但他们无需消毒已经损害的系统。 Kresonsecurity是第一个报告大众黑客的人。引用多个未命名的人，记者Brian Krebs将妥协的美国组织数量至少有30,000人。克莱斯表示，克雷布斯表示至少有100,000个黑客组织。其他新闻网点也引用未命名的来源，迅速跟随帖子报告，黑客袭击了美国数以千计的组织。

“这是真实的交易，”网络安全和基础设施安全机构的前负责人Chris Krebs，在Twitter上表示，指的是对现对的交换的攻击，这也被称为Outlook Web Access。 “如果您的组织运行暴露于互联网的OWA服务器，则在02 / 26-03 / 03之间承担妥协。”他的评论周四陪同Jake Sullivan，White House国家安全顾问总裁拜登。

这是实打实的。如果您的组织运行暴露于Internet的OWA服务器，则在02 / 26-03 / 03之间承担妥协。检查C：\\ Inetpub \ wwwroot \ aspnet_client \ system_web \中的8个字符aspx文件。如果您在该搜索的击中，您现在处于事件响应模式。 https://t.co/865q8cc1rm.

- Chris Krebs（@c_c_krebs）2021年3月5日

Microsoft星期二表示，由软件制造商呼叫铪的“有限的目标攻击”被黑客攻击了本地交换服务器。在星期五的Brian Krebs的帖子之后，Microsoft更新了它的帖子，说明它看到“在河口超越铪的多个恶意演员攻击攻击中的攻击越来越多地使用这些脆弱性。”

Security Conv Canary Intelligence主任Katie Nickels告诉ARS，她的团队找到了使用策略，技术和程序的策略，技术和程序所损害的Exchange服务器，这些程序与Microsoft的Hafnium Group Group Microsoft所使用的策略。她说红金丝雀已经计算了五个“彼此不同的群集，[虽然]讲述了那些背后的人是否有不同或没有真正挑战，现在不清楚。”

在Twitter上，Red Canary表示，一些受妥协的Exchange服务器公司已经跟踪了2019年分析的安全公司炭黑的RAN恶意软件。恶意软件是安装了叫做DLTMINER的加密软件的攻击的一部分。它＆＃39;不太可能的铪会安装那样的有效载荷。

微软表示，Hafnium是来自中国的熟练黑客集团，主要侧重于窃取来自美国的传染病研究人员，律师事务所，高等教育机构，国防承包商，政策思维坦克和非政府组织的数据。 Microsoft表示，该组是通过利用最近固定的Zeroday漏洞或使用Instomed管理员凭据来攻击服务器。

目前尚不清楚哪些百分比的感染服务器是铪的工作。 Microsoft周二警告说，易于利用该漏洞使其可能是其他黑客群体即将加入铪。如果赎金软件组尚未在群集损害服务器中，则它们很快就是不可避免的。

Brian Krebs和其他人报告称，成千上万的Exchange服务器已经遭到损害，WebShell，Hackers安装一旦他们获得了对服务器的访问权限。该软件允许攻击者通过通过Web浏览器访问的终端窗口输入管理命令。

研究人员谨慎注意，只需安装在周二的紧急发布中发布的微软修补程序就不会为已被回溯的服务器做出任何作用。 WebShells和已安装的任何其他恶意软件将持续，直到主动删除，理想地通过完全重建服务器。

在他们的网络中管理交换服务器的人应该放弃他们现在正在做的任何事情，并仔细检查他们的机器是否有妥协的迹象。微软在这里列出了妥协指标。管理员还可以使用Microsoft的此脚本来测试其环境是否受到影响。

在安全专业人员发现至少九个联邦机构和大约100家公司的黑客之后，本周对交换服务器黑客的升级来临三个月。感染的主要载体是通过网络工具制造商Solarwinds的软件更新。大众黑客是美国历史上最糟糕的计算机入侵之一。交换服务器可能很快将宣称区别。

仍然有很多遗骸。目前，人们会很好地遵循Chris Krebs的建议，以假设本地服务器受到妥协并相应行动。