許多企業內部的Exchange服務器正在忙著打補丁，但微軟警告說，調查發現，在已經被入侵的系統上潛伏著多種威脅。攻擊者慣常使用Web Shell腳本來獲得服務器上的持久權限，或者攻擊者在早期的攻擊中就已經竊取了憑證。微軟在3月2日發布了Exchange內部系統的補丁。四個Exchange錯誤已經受到了一個名為Hafnium的國家支持的黑客組織的攻擊。

微軟本週早些時候表示，已經檢測到92%的脆弱的Exchange服務器已經打了補丁或採取了緩解措施。然而，網絡安全公司F-Secure表示，已經有”數万台”Exchange服務器被入侵。

在一篇新的博客文章中，微軟重申了它的警告，即”給系統打補丁並不一定能消除攻擊者的訪問”。”許多被入侵的系統還沒有收到二次行動，例如人為操作的勒索軟件攻擊或數據外流，這表明攻擊者可能正在建立和保留他們的訪問權限，以便以後的潛在行動，”微軟365 Defender威脅情報團隊指出。

在系統被入侵的地方，微軟敦促管理員實踐最小特權原則，減輕網絡上的橫向移動。最低權限將有助於解決常見的做法，即Exchange服務或計劃任務已被配置為具有高級權限的帳戶來執行備份等任務。”由於服務賬戶憑證不會經常改變，這可以為攻擊者提供很大的優勢，即使他們由於防病毒檢測而失去了最初的Web Shell訪問，因為該賬戶可以用於以後提升權限，”微軟指出。

以DoejoCrypt勒索軟件（又名DearCry）為例，微軟指出，該病毒株使用的web shell會將一個批處理文件寫入C: Windows Tempxx.bat。這在所有被DoejoCrypt擊中的系統中都被發現，並且可能為攻擊者提供了一條重新獲得訪問的途徑，在那裡感染已經被檢測和刪除。

“這個批處理文件會執行安全賬戶管理器（SAM）數據庫以及系統和安全註冊表蜂巢的備份，允許攻擊者稍後訪問系統上本地用戶的密碼，更關鍵的是，在註冊表的LSA[本地安全]部分，那裡存儲著服務和計劃任務的密碼，”微軟指出。

即使在受害者沒有被勒索的情況下，攻擊者使用特殊設計後的xx.bat批處理文件也可以通過當初投放該文件的Web Shell設法繼續訪問。在下載勒索軟件載荷和加密文件之前，Web Shell還會協助下載Cobalt Strike滲透測試套件。換句話說，受害者今天可能沒有被勒索，但攻擊者已經在網絡上留下了明天動手的工具。

Exchange服務器面臨的另一個網絡犯罪威脅來自於惡意加密貨幣礦工。據觀察，Lemon Duck加密貨幣殭屍網絡就在利用脆弱的Exchange服務器。有趣的是，Lemon Duck的操作者用xx.bat文件和一個Web Shell清理了一台之前已經被黑過的Exchange服務器，使其獨占Exchange服務器的權限。微軟還發現，服務器被用來安裝其他惡意軟件，而不僅僅是挖掘加密貨幣。

微軟同時公佈了大量的洩密指標，系統管理員可以利用這些指標來搜索這些威脅的存在和憑證被盜的跡象。