黑客用勒索软件攻击微软Exchange服务器

没过多久。情报机构和网络安全研究人员一直在警告，自上周以来，攻击迅速升级，未打补丁的Exchange服务器可能会打开勒索软件感染的途径。

现在看来，威胁行为者已经赶上了。

根据最新报道，网络犯罪分子正在利用被严重利用的ProxyLogon Exchange服务器漏洞，安装一种名为“DearCry”的新型勒索软件

微软研究人员菲利普·米斯纳（Phillip Misner）在推特上写道：“微软发现了一系列新的人为勒索软件攻击客户–；被检测为勒索：Win32/DoejoCrypt.a。”。“人为操作的勒索软件攻击正在利用Microsoft Exchange漏洞攻击客户。”

微软的安全情报团队在另一条推文中确认，它已经开始“阻止一个新的勒索软件家族的使用，该家族最初是在未修补的本地Exchange服务器上遭到破坏之后使用的。”

安全公司Kryptos Logic表示，它发现了约6970个暴露的网络外壳，其中一些被用来用DearCry勒索软件感染受损的服务器，这表明其他网络犯罪集团正在利用铪威胁行为人植入的第一阶段网络外壳后门安装他们选择的其他恶意软件。

Sophos主管马克·洛曼（Mark Loman）称DearCry是一个“副本”勒索软件，他说这种病毒使用嵌入勒索软件二进制文件中的加密密钥创建被攻击文件的加密副本，并删除原始版本，从而允许受害者“潜在地恢复一些数据”，因为这种加密行为。

洛曼说：“防御者应该采取紧急措施安装微软的补丁，以防止他们的微软Exchange补丁被利用。如果这不可能，服务器应该与互联网断开连接，或者由威胁响应团队密切监视。”。

在美国网络安全和基础设施安全局（CISA）和联邦调查局（FBI）发布的联合咨询中，这两个机构警告说，“对手可能利用这些漏洞破坏网络、窃取信息、加密数据以获取赎金，甚至执行破坏性攻击。”

成功的缺陷武器化使攻击者能够访问受害者的Exchange服务器，从而使他们能够持久地访问和控制企业网络。在新的勒索软件威胁下，未修补的服务器不仅面临潜在数据被盗的风险，而且可能会被加密，从而阻止对组织邮箱的访问。

从GitHub上撤下PoC引发争议

与此同时，随着国家黑客和网络犯罪分子纷纷利用ProxyLogon漏洞，一名安全研究人员在微软拥有的GitHub上共享的概念验证（PoC）代码被该公司删除，理由是该漏洞正在受到积极攻击。

在给Vice的一份声明中，该公司表示，“根据我们可接受的使用政策，我们禁用了gist，因为有报告称gist包含最近披露的一个正在被积极利用的漏洞的概念验证代码。”

此举也引发了一场争论，研究人员称，微软通过删除GitHub上共享的POC，正在“压制安全研究人员”。

TrustedSec的戴夫·肯尼迪（Dave Kennedy）说：“这是一个巨大的挑战，从GitHub中删除了一个针对他们自己产品的安全研究人员代码，该代码已经过修补。”。“这是一个PoC，不是一个有效的漏洞—；没有一个PoC拥有RCE。即使它拥有RCE，也不是他们在合适的发布时间发出的呼吁。这是他们自己产品中的一个问题，他们正在让安全研究人员对此保持沉默。”

这也得到了谷歌零号项目研究员塔维斯·诺曼底的回应。

诺曼底在一条推文中说：“如果从一开始就没有PoC/metasploit/etc—；那会很糟糕，但这是他们的服务。”。“相反，他们说可以，现在安全专业人士共享代码已经成为标准，他们选择自己作为‘负责任’的仲裁者。多么方便。”

但在Twitter上回复肯尼迪时，安全研究员马库斯·哈钦斯（Marcus Hutchins）说，“已经修补好了。”老兄，还有超过50000台未修补的exchange服务器。发布一个完整的随时可用的RCE链不是安全研究，这是鲁莽和愚蠢的行为。”

If anything, the avalanche of attacks should serve as a warning to patch all versions of the Exchange Server as soon as possible, while also take steps to identify signs of indicators of compromise associated with the hacks, given that the attackers were exploiting these zero-day vulnerabilities in the wild for at least two months before Microsoft released the patches on March 2.