微软Exchange被爆高危后门 可用于窃取凭证等
source link: https://netsecurity.51cto.com/article/712985.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
微软Exchange被爆高危后门 可用于窃取凭证等-51CTO.COM
日前,卡巴斯基的安全团队发布了一份令人担忧的报告。报告指出在 Exchange 服务器上发现了一个全新的、难以检测的后门。这种名为 SessionManager 的恶意软件于 2022 年初首次被发现。
Exchange 被全球多个国家的政府、医疗机构、军事组织、非政府组织等广泛使用,因此该后门的破坏力可以说是非常惊人的。
卡巴斯基安全团队表示 SessionManager 恶意软件样本目前并没有被大多数主流在线文件扫描服务标记。此外,在 90% 的目标组织中,SessionManager 感染会持续存在。
SessionManager 背后的威胁参与者在过去 15 个月里一直在使用它。卡巴斯基怀疑一个名为 Gelsemium 的黑客组织对这些攻击负责,因为黑客模式符合该组织的 MO。然而,分析师无法证实 Gelsemium 是罪魁祸首。
该恶意软件使用为微软 Internet Information Services (IIS) Web 服务器软件编写的强大的恶意本机代码模块。安装后,它们将响应特殊的 HTTP 请求以收集敏感信息。攻击者还可以完全控制服务器,部署额外的黑客工具,并将它们用于其他恶意目的。
有趣的是,安装 SessionManager 的过程依赖于利用一组统称为 ProxyLogon (CVE-2021-26855) 的漏洞。去年,微软表示,超过 90% 的 Exchange 服务器已被修补或缓解,但这仍然使许多已经受到攻击的服务器面临风险。
虽然要拔除 SessionManager 的过程非常复杂,不过卡巴斯基研究人员提供了一些关于保护您的组织免受 SessionManager 等威胁的建议。您还可以咨询 Securelist 以获取有关 SessionManager 如何操作和危害指标的更多相关信息。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK