FBI清除了数百家网站中利用ProxyLogon漏洞的webshell
美联储已经从美国数百台容易受到攻击的电脑中清除了恶意的webshell文件,黑客都是通过被称为ProxyLogonMicrosoftExchange的漏洞来入侵主机的。
ProxyLogon由一组安全漏洞组成,这些漏洞会影响到微软内部版本的ExchangeServer软件中的电子邮件系统。微软上个月警告说,这些漏洞正在被Hafnium高级持续性威胁(APT)组织大量利用;之后,其他研究人员也表示,还有10个甚至更多的APT组织也在利用这些漏洞进行攻击。
ProxyLogon由四个漏洞(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)组成,这些漏洞可以被同时利用,用来创建一个预认证远程代码执行(RCE)漏洞。这意味着攻击者可以在不知道任何有效账户凭证的情况下接管服务器。这使得他们能够访问电子邮件通信系统,他们还有机会上传一个webshell文件,还可以更进一步地攻击网络,例如部署勒索软件等。
虽然官方已经发布了补丁,但这对于那些已经被入侵了的电脑毫无作用。
司法部在周二的公告中解释说:"许多被感染了的系统的管理员已经从计算机上删除了webshell文件,但并不是所有的管理员都能这样做到,现在仍有数百个这样的webshell文件存在。"
这种紧急的情况也促使了FBI采取行动。在此次法院授权的行动中,FBI通过webshell向受影响的服务器发出了一系列命令。这些命令可以使服务器删除webshell文件(由其唯一的文件路径识别)。
司法部国家安全司助理司法部长John Demers在声明中说:"今天法院授权删除恶意webshell,表明了司法部门在积极利用我们的法律工具。"
FBI单方面采取行动调查ProxyLogon的漏洞
此次行动的其他技术细节仍然处于保密状态,但JupiterOne创始人兼CEO Erkang Zheng指出,这一行动是过去前所未有的。
他通过电子邮件表示:"让人真正感兴趣的是法院下令宣布要对有漏洞的系统进行远程修复,这是第一次发生这种情况,有了这个作为先例,以后法院可能经常会对有漏洞的系统进行修复。如今许多企业不知道他们的基础设施的安全状态是什么样的,这个问题对于首席信息安全官来说是一个巨大的挑战。"
新网科技安全研究全球副总裁Dirk Schrader指出,由于FBI在这方面缺乏透明度,出现了很多问题。
他告诉Threatpost:"这里面有几个关键问题,一个是FBI表示这一行动是因为这些受害者缺乏自己保证基础设施安全的能力,另一个是FBI推迟了一个月才通知受害者自己系统中的webshell已经被清除。"
他解释说:"这可能会引出其他的问题,因为受害者不知道他们的系统被访问了什么内容,是否在系统中安装了其他的后门,这种做法会伴随着其他一系列的问题出现。"
Horizon3.AI的客户和合作伙伴总监Monti Knode指出,从这一行动可以看出这些系统漏洞有多危险。
他通过电子邮件说:"政府的行动要以权威性为前提,直接对外宣称计算机系统'受到了损害',这已经足以让FBI不在行动执行前通知受害者,获得授权令直接执行这样的行动。虽然尚不清楚这次行动的规模(法院命令有删改),但FBI能够在不到四天的时间内执行完毕,然后对外公开发布这项工作,这说明这些被攻击的系统对于国家安全有潜在风险,这绝不是一个普通的行动。"
据FBI报道,这次行动成功删除了系统中的webshell。但是,如果组织的系统还没有打补丁,那么仍然需要打补丁。
Denmers说:"通过私营部门和其他政府机构共同的努力,我们发布了检测工具和补丁,此次行动展示了公私合作为我国网络安全带来的新的力量,毫无疑问,我们还有更多的工作要做,但也请大家不要怀疑,这些部门在网络安全中发挥着不可或缺的作用。"
新的Exchange RCE漏洞和联邦调查局的警告
这个消息是在4月补丁发布之后对外公布的,微软在4月份披露了更多的Exchange中的RCE漏洞(CVE-2021-28480到CVE-2021-28483),国家安全局发现了这些漏洞并进行了报告。同时也向联邦机构下达了在周五前为它们打补丁的任务。
ImmersiveLabs的网络威胁研究总监KevinBreen警告说,针对该漏洞的攻击可能会比平时来得更快一些,因为那些恶意攻击者将能够使用现有的POC工具进行检测系统的漏洞。
他通过电子邮件补充道:"这强调了现在的网络安全对整个国家安全的重要性,情报部门和安全企业之间的界限不断模糊,最近发生了一些备受瞩目的攻击事件,很显然国家安全局现在非常想站出来积极主动的解决问题。"
本文翻译自:https://threatpost.com/fbi-proxylogon-web-shells/165400/
鸿蒙官方战略合作共建——HarmonyOS技术社区
推荐系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10番茄花园 Windows 10 32位极速企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86企业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows 10 32位企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows10 64专业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动
雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新雨林木风 Windows10 x64 企业装机版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载
语言:中文版系统大小:3.98GB系统类型:Win10深度技术 Windows 10 x64 企业TLSB 电脑城装机版2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
电脑公司 装机专用系统Windows10 x64 企业版2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10电脑公司 装机专用系统 Windows10 x64 企业TLSB版2022年7月一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
新雨林木风 Windows10 x86 企业装机版2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.15GB系统类型:Win10新雨林木风 Windows10 x86 专业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活系统,无
相关文章
- 卡巴斯基手撕微软,俄罗斯要调查 Windows 10 防毒软件垄断问题
- 不打补丁抵御攻击,奇安信发布第三代安全引擎“天狗”
- 火绒发布“漏洞攻击拦截”功能
- 360断网急救箱在哪 使用360断网急救箱解决网络故障
- 一种基于数据中台的实时欺诈行为识别架构
- Ubuntu 通过无线网络安装Ubuntu Server启动系统后连接无线网络的方法
- 法外狂徒:利用勒索软件攻击巴西最高法院,获得机密文件
- 大势至共享文件监控软件、共享文件权限管理软件主控端与客户端的连接设置方法详解
- 手工注入拿到管理员密码登陆后台 图文
- 银河麒麟操作系统如何服务寻常百姓家
- 预告:微软漏洞贡献榜中国第一人黄正——如何用正确的姿势挖掘浏览器漏洞|硬创公开课
- 如何批量更改多个文件的文件名
- Canalys报告:2021年全球网络安全支出将提升10%
- 交换机网络嗅探方法 如何欺骗交换机缓存
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 3深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 4电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
- 1重装上阵新赛季有哪些重型武器_重装上阵新赛季重型武器列表
- 2使用win7中本地搜索功能时四个技巧快速找到文件的操作方如何用win7的搜索功能法
- 3天天酷跑布鲁与冰原狼仔哪一个好 布鲁好还是冰原狼仔好
- 4斐讯k1路由器刷Breed BootLoader(不死UBoot)教程
- 5路由器密码忘了怎么办 无线路由器登陆密码忘了解决方法【详解】
- 6如何重装系统(安装系统)win7,本文教您如何迅速重装win7系统
- 7Win8安装Office2013提示出错1402怎样办?
- 8WinXP打印机无法打印提示该文档未能打印怎样办?
- 9windows7专业版原版下载
- 10Win10下载软件被阻止怎么办?win10下载软件被阻止的处理办法
常用系统
- 1新萝卜家园 GhostWin7 SP1 电脑城极速稳定版2019年6月(32位) ISO镜像高速下载
- 2番茄花园 Windows 10 官方企业版 版本1903 2021年4月(64位) ISO高速下载
- 3笔记本&台式机专用系统GhostWin7 64位元旦特别 旗舰版2022年1月(64位) 高速下载
- 4电脑公司Ghost Win8.1 X64位 纯净版2020年4月(自动激活) ISO镜像快速下载
- 5电脑公司Ghost Win8.1 x32 精选纯净版2021年12月(免激活) ISO镜像高速下载
- 6深度技术 Windows 10 x86 企业版 元旦特别 电脑城装机版2021年1月(32位) ISO镜像免费下载
- 7新雨林木风 Windows10 x86 企业装机版2020年4月(32位) ISO镜像高速下载
- 8深度技术Ghost Win8.1 x32位 特别纯净版2021年4月(免激活) ISO镜像高速下载
- 9雨林木风Ghost Win8.1 (64位) 万能纯净版2018年04(完美激活) ISO镜像免费下载
- 10新萝卜家园电脑城专用系统 Windows10 x86 企业版2022年2月(32位) ISO镜像高速下载