IT之家 7 月 2 日消息，卡巴斯基的安全團(tuán)隊(duì)本周四發(fā)布了一份令人擔(dān)憂(yōu)的報(bào)告。報(bào)告指出在 Exchange 服務(wù)器上發(fā)現(xiàn)了一個(gè)全新的、難以檢測(cè)的后門(mén)，該后門(mén)可用于獲取長(zhǎng)久的、未被檢測(cè)到的電子郵件訪問(wèn)權(quán)限，甚至接管目標(biāo)組織的基礎(chǔ)設(shè)施，而這正是曾經(jīng)專(zhuān)注于利用 ProxyLogon Microsoft Exchange 服務(wù)器漏洞的攻擊者發(fā)現(xiàn)的新漏洞。

　　卡巴斯基的研究人員表示，現(xiàn)在的攻擊者逐漸呈現(xiàn)出一種趨勢(shì)，他們將惡意后門(mén)模塊部署在 Windows 的互聯(lián)網(wǎng)信息服務(wù) (ISS) 服務(wù)器（如 Exchange 服務(wù)器）中，從而引起類(lèi)似 SessionManager 的一系列高危漏洞。

　　IT之家了解到，SessionManager 惡意軟件常常偽裝成 Internet 信息服務(wù) (IIS) 的合法模塊，而 IIS 正是默認(rèn)安裝在 Exchange 服務(wù)器上的 Web 服務(wù)。組織經(jīng)常部署 IIS 模塊以簡(jiǎn)化其 Web 基礎(chǔ)架構(gòu)上的特定工作流程。

　　卡巴斯基報(bào)告稱(chēng)，目前已經(jīng)有 24 個(gè)非政府組織的 34 個(gè)服務(wù)器已被 SessionManager 進(jìn)行入侵。截至本月初，仍有 20 個(gè)組織受到感染。

　　研究人員補(bǔ)充道，SessionManager 后門(mén)于 2021 年 3 月首次發(fā)現(xiàn)，已被用于針對(duì)非洲、歐洲、中東和南亞的非政府組織 (ngo)。

　　卡巴斯基高級(jí)安全研究員皮埃爾?德?tīng)枏?(Pierre Delcher) 表示:“自 2021 年第一季度以來(lái)，利用 Exchange 服務(wù)器漏洞一直是網(wǎng)絡(luò)罪犯想要進(jìn)入目標(biāo)基礎(chǔ)設(shè)施的首選”“最近發(fā)現(xiàn)的 SessionManager 一年多來(lái)都沒(méi)有被發(fā)現(xiàn)，現(xiàn)在仍然在被人利用?！?/p>

　　卡巴斯基團(tuán)隊(duì)建議定期對(duì)暴露在外的 ISS 服務(wù)器中的惡意模塊進(jìn)行篩查，重點(diǎn)檢測(cè)網(wǎng)絡(luò)上的橫向移動(dòng)部分，并密切監(jiān)控?cái)?shù)據(jù)流動(dòng)，以避免數(shù)據(jù)被泄露。

　　德?tīng)枏鼐嬲f(shuō):“就 Exchange 服務(wù)器而言，值得我們多次強(qiáng)調(diào)：過(guò)去一年的漏洞已經(jīng)讓它們成為了完美的攻擊目標(biāo)，無(wú)論其惡意意圖如何，所以它們應(yīng)該被仔細(xì)審計(jì)和監(jiān)控，以防被隱藏地植入設(shè)備，如果它們還沒(méi)有被隱藏的話(huà)?！?/p>