微软针对Exchange Server零时差漏洞释出恶意web shell侦测工具

微软本周末更新Windows安全工具Microsoft Safety Scanner（MSERT），以协助企业侦测Exchange Server中有无骇客植入的web shell程式。

微软上周发出安全公告，指出一个由中国-支持的骇客组织Hafnium，正在利用Exchange Server合称为ProxyLogon的4项零时差漏洞（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858及CVE-2021-27065），以骇入本地部署邮件系统的组织，目的在窃取私密邮件。同时也针对受影响的Exchange Server 2013、2016和2019版紧急释出更新版本。

微软强烈建议用户立即更新Exchange Server软件。一旦攻击者成功骇入Exchange环境就会植入web shell程式，这种网页程式有如后门，让骇客得以长期从远端控制受害组织的Exchange Server，包括窃取邮件、账号资讯、执行任意程式码、或在内部网络横向移动。

微软的Microsoft Defender for Endpoint已经整合最新版的Microsoft Safety Scanner(MSERT.exe)，以侦测可能的恶意web shell，包括

Exploit:Script/Exmann.A!dha、Behavior:Win32/Exmann.A、Backdoor:ASP/SecChecker.A、Backdoor:JS/Webshell (非仅Exchange Server攻击独有)、Trojan:JS/Chopper!dha (非仅Exchange Server攻击独有)、Behavior:Win32/DumpLsass.A!attk (非仅Exchange Server攻击独有)、Backdoor:HTML/TwoFaceVar.B (非仅Exchange Server攻击独有)

未使用Microsoft Defender的用户，也可单独下载Microsoft Safety Scanner（MSERT）工具。管理员可以选择全系统扫描或自订扫描范围。可能藏有web shell的资料夹包括：

● %IIS installation path%\\aspnet_client\\*

● %IIS installation path%\\aspnet_client\\system_web\\*

● %Exchange Server installation path%\\FrontEnd\\HttpProxy\\owa\\auth\\*

● 暂时性的ASP.NET files path

● %Exchange Server Installation%\\FrontEnd\\HttpProxy\\ecp\\auth\\*

Microsoft Safety Scanner使用的定义档和Defender一样，可用于侦测和移除上述的web shell，只是不会主动即时侦测，而需由使用者自己执行。

从微软上周三（3/3）发出安全公告短短几天内，针对未修补的Exchange Server漏洞开采行动大幅增加。安全厂商指出，如果使用Exchange的企业组织没有更新，极大可能此时已经被骇。

由于Exchange Server使用十分普及，加上许多企业也设定可远端存取的Outlook Web Access (OWA)，因此这次漏洞影响全球众多-和民间机构。安全厂商估计，过去几天内美国境内至少有3万个企业及-单位，包括州、郡、市-，警察、消防单位及银行、电力公司、小型企业、长照机构等已经被骇。而全球可能也有数万、甚至数十万机构受害，这些企业的漏洞修补及web shell清除，将是耗费极大人力的工程。

欧洲金融主管机关下的欧洲银行管理署（European Banking Authority，EBA）昨天也公告其Exchange Server被骇入。EBA已经将邮件系统下线，并配合安全专家及有关单位调查资料外泄的情形。

微软提醒，这些工具虽能发现已知攻击，但不保证能完全防止针对上述4项漏洞的攻击。微软表示会持续更新这些安全工具。