正在进行的恶意软件攻击利用了微软Exchange服务器的漏洞

Positive Technologies的研究人员在响应客户事件时发现了一个未知的键盘记录器嵌入在主Microsoft Exchange Server页面中。这个键盘记录器被用来收集账户凭据。进一步的调查确定了30多个受害者，分布在多个国家，其中大部分与政府机构有关。

根据研究人员的说法，这个针对MS Exchange Server的恶意软件攻击至少从2021年开始活跃。研究人员无法将这个攻击归因于特定的组织，但他们观察到，大部分受害者在非洲和中东地区。这个攻击针对的国家包括俄罗斯、阿联酋、科威特、阿曼、尼日尔、尼日利亚、埃塞俄比亚、毛里求斯、约旦和黎巴嫩。攻击者利用Microsoft Exchange Server的ProxyShell漏洞（CVE-2021-34473、CVE-2021-34523和CVE-2021-31207）注入信息窃取程序。他们将键盘记录器代码添加到服务器的主页面中，并将其嵌入clkLgn()函数中。攻击者还添加了一个代码，可以在logon.aspx文件中处理窃取程序的结果，然后将账户凭据重定向到一个可通过互联网访问的文件中。

“你可以通过搜索你的Microsoft Exchange服务器主页面来检查是否存在潜在的威胁。” Positive Technologies的报告总结道，“如果你的服务器已经受到了威胁，请确定已经被窃取的账户数据，并删除黑客存储这些数据的文件。你可以在logon.aspx文件中找到这个文件的路径。确保你正在使用最新版本的Microsoft Exchange服务器，或者安装挂起的更新。”

原文始发于微信公众号（黑猫安全）：正在进行的恶意软件攻击利用了微软Exchange服务器的漏洞