微軟針對Exchange Server零時差漏洞釋出惡意web shell偵測工具

微軟本周末更新Windows安全工具Microsoft Safety Scanner（MSERT），以協助企業偵測Exchange Server中有無駭客植入的web shell程式。

微軟上周發出安全公告，指出一個由中國政府支持的駭客組織Hafnium，正在利用Exchange Server合稱為ProxyLogon的4項零時差漏洞（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858及CVE-2021-27065），以駭入本地部署郵件系統的組織，目的在竊取私密郵件。同時也針對受影響的Exchange Server 2013、2016和2019版緊急釋出更新版本。

微軟強烈建議用戶立即更新Exchange Server軟體。一旦攻擊者成功駭入Exchange環境就會植入web shell程式，這種網頁程式有如後門，讓駭客得以長期從遠端控制受害組織的Exchange Server，包括竊取郵件、帳號資訊、執行任意程式碼、或在內部網路橫向移動。

微軟的Microsoft Defender for Endpoint已經整合最新版的Microsoft Safety Scanner(MSERT.exe)，以偵測可能的惡意web shell，包括

Exploit:Script/Exmann.A!dha、Behavior:Win32/Exmann.A、Backdoor:ASP/SecChecker.A、Backdoor:JS/Webshell (非僅Exchange Server攻擊獨有)、Trojan:JS/Chopper!dha (非僅Exchange Server攻擊獨有)、Behavior:Win32/DumpLsass.A!attk (非僅Exchange Server攻擊獨有)、Backdoor:HTML/TwoFaceVar.B (非僅Exchange Server攻擊獨有)

未使用Microsoft Defender的用戶，也可單獨下載Microsoft Safety Scanner（MSERT）工具。管理員可以選擇全系統掃瞄或自訂掃瞄範圍。可能藏有web shell的資料夾包括：

● %IIS installation path%\aspnet_client\*

● %IIS installation path%\aspnet_client\system_web\*

● %Exchange Server installation path%\FrontEnd\HttpProxy\owa\auth\*

● 暫時性的ASP.NET files path

● %Exchange Server Installation%\FrontEnd\HttpProxy\ecp\auth\*

Microsoft Safety Scanner使用的定義檔和Defender一樣，可用於偵測和移除上述的web shell，只是不會主動即時偵測，而需由使用者自己執行。

從微軟上周三（3/3）發出安全公告短短幾天內，針對未修補的Exchange Server漏洞開採行動大幅增加。安全廠商指出，如果使用Exchange的企業組織沒有更新，極大可能此時已經被駭。

由於Exchange Server使用十分普及，加上許多企業也設定可遠端存取的Outlook Web Access (OWA)，因此這次漏洞影響全球眾多政府和民間機構。安全廠商估計，過去幾天內美國境內至少有3萬個企業及政府單位，包括州、郡、市政府，警察、消防單位及銀行、電力公司、小型企業、長照機構等已經被駭。而全球可能也有數萬、甚至數十萬機構受害，這些企業的漏洞修補及web shell清除，將是耗費極大人力的工程。

歐洲金融主管機關下的歐洲銀行管理署（European Banking Authority，EBA）昨天也公告其Exchange Server被駭入。EBA已經將郵件系統下線，並配合安全專家及有關單位調查資料外洩的情形。

微軟提醒，這些工具雖能發現已知攻擊，但不保證能完全防止針對上述4項漏洞的攻擊。微軟表示會持續更新這些安全工具。