7月2日消息,卡巴斯基的安全团队本周四发布了一份令人担忧的报告。报告指出在Exchange服务器上发现了一个全新的、难以检测的后门,该后门可用于获取长久的、未被检测到的电子邮件访问权限,甚至接管目标组织的基础设施,而这正是曾经专注于利用ProxyLogonMicrosoftExchange服务器漏洞的攻击者发现的新漏洞。
卡巴斯基的研究人员表示,现在的攻击者逐渐呈现出一种趋势,他们将恶意后门模块部署在Windows的互联网信息服务(ISS)服务器(如Exchange服务器)中,从而引起类似SessionManager的一系列高危漏洞。
记者了解到,SessionManager恶意软件常常伪装成Internet信息服务(IIS)的合法模块,而IIS正是默认安装在Exchange服务器上的Web服务。组织经常部署IIS模块以简化其Web基础架构上的特定工作流程。
卡巴斯基报告称,目前已经有24个非政府组织的34个服务器已被SessionManager进行入侵。截至本月初,仍有20个组织受到感染。
研究人员补充道,SessionManager后门于2021年3月首次发现,已被用于针对非洲、欧洲、中东和南亚的非政府组织(ngo)。
卡巴斯基高级安全研究员皮埃尔・德尔彻(PierreDelcher)表示:“自2021年第一季度以来,利用Exchange服务器漏洞一直是网络罪犯想要进入目标基础设施的首选”“最近发现的SessionManager一年多来都没有被发现,现在仍然在被人利用。”
卡巴斯基团队建议定期对暴露在外的ISS服务器中的恶意模块进行筛查,重点检测网络上的横向移动部分,并密切监控数据流动,以避免数据被泄露。
德尔彻警告说:“就Exchange服务器而言,值得我们多次强调:过去一年的漏洞已经让它们成为了完美的攻击目标,无论其恶意意图如何,所以它们应该被仔细审计和监控,以防被隐藏地植入设备,如果它们还没有被隐藏的话。”