微軟面向Microsoft Exchange Server 2013, 2016 和2019 緊急發布帶外(Out of Band)安全更新，修復了一個預認證的遠程代碼執行（RCE）漏洞鏈（CVE-2021-26855、CVE- 2021-26857、CVE-2021-26858和CVE-2021-27065）。

黑客可以利用這些漏洞在不知道有效賬戶憑證的情況下接管任意可訪問的Exchange 服務器。截止發稿為止，目前有超過5000 台右鍵服務器檢測到了webshel​​ls，超過6 萬個客戶受到影響，而歐洲銀行業管理局等多個重要機構遭到攻擊。

該漏洞最早是由知名漏斗研究專家Orange Tsai發現的，他在2021年1月5日向微軟報告了這些漏洞。不過根據外媒Volexity的報導，有跡象表明早在1月3日就有黑客利用該漏洞鏈發起了攻擊。因此，如果這些日期是正確的，那麼這些漏洞要么是由兩個不同的漏洞研究團隊獨立發現的，要么就是這些漏洞的信息以某種方式被惡意團伙獲得。

2021 年2 月28 日開始，不斷有Exchange 用戶遭到網絡攻擊，首先是Tick，然後LuckyMouse、Calypso 和Winnti 團伙也開始迅速發起攻擊。這表明，多名黑客在補丁發布之前就獲得了漏洞的細節，這意味著我們可以摒棄他們通過對微軟更新進行逆向工程構建漏洞的可能性。

在補丁發布的第2天，黑客採取了更加瘋狂的攻擊，包括Tonto Team和Mikroceen等團隊也對Exchange服務器發起攻擊。有趣的是，所有這些都是對間諜活動感興趣的高級持續威脅( APT )組織，除了一個例外（DLTMiner），它與一個已知的加密採礦活動有關。下圖是攻擊時間線概要。

在過去幾天時間裡，ESET 研究人員一直在密切關注這些漏洞的webshel​​l 檢測數量。基於ESET 的遙測數據，在補丁發布日有超過115 個國家的5000 多台Exchange 服務器被標記為webshel​​l，而實際受感染的服務器數量肯定更多。圖2 展示了微軟補丁前後的檢測情況。

圖3 的熱圖顯示了根據ESET 遙測的webshel​​l 檢測的地理分佈情況。由於大規模的利用，它很可能代表了全球安裝ESET 安全產品的易受攻擊的Exchange 服務器的分佈情況。

ESET 已經確定了超過10 個不同的網絡威脅者，他們很可能利用最近的Microsoft Exchange RCE，以便在受害者的電子郵件服務器上安裝植入物。

我們的分析是基於電子郵件服務器，我們在這些服務器上發現了離線地址簿（OAB）配置文件中的webshel​​l，這是利用RCE漏洞的一種特殊技術，已經在42單元的一篇博客文章中詳細介紹過。遺憾的是，我們不能排除一些威脅行為者可能劫持了其他組投放的webshel​​ls，而不是直接使用該漏洞。一旦漏洞被利用，webshel​​l 被安裝到位，我們觀察到有人試圖通過它安裝更多的惡意軟件。我們還注意到，在某些情況下，幾個威脅行為者針對的是同一個組織。