微软Exchange被爆高危后门 可用于窃取凭证等

本周四，卡巴斯基的安全团队发布了一份令人担忧的报告。报告指出在Exchange服务器上发现了一个全新的、难以检测的后门。这种名为SessionManager的恶意软件于2022年初首次被发现。

Exchange被全球多个国家的政府、医疗机构、军事组织、非政府组织等广泛使用，因此该后门的破坏力可以说是非常惊人的。

卡巴斯基安全团队表示SessionManager恶意软件样本目前并没有被大多数主流在线文件扫描服务标记。此外，在90%的目标组织中，SessionManager感染会持续存在。

SessionManager背后的威胁参与者在过去15个月里一直在使用它。卡巴斯基怀疑一个名为Gelsemium的黑客组织对这些攻击负责，因为黑客模式符合该组织的MO。然而，分析师无法证实Gelsemium是罪魁祸首。

该恶意软件使用为微软InternetInformationServices(IIS)Web服务器软件编写的强大的恶意本机代码模块。安装后，它们将响应特殊的HTTP请求以收集敏感信息。攻击者还可以完全控制服务器，部署额外的黑客工具，并将它们用于其他恶意目的。

有趣的是，安装SessionManager的过程依赖于利用一组统称为ProxyLogon(CVE-2021-26855)的漏洞。去年，微软表示，超过90%的Exchange服务器已被修补或缓解，但这仍然使许多已经受到攻击的服务器面临风险。

虽然要拔除SessionManager的过程非常复杂，不过卡巴斯基研究人员提供了一些关于保护您的组织免受SessionManager等威胁的建议。您还可以咨询Securelist以获取有关SessionManager如何操作和危害指标的更多相关信息。