黑客入侵數十萬微軟郵箱帳戶，緣由竟是漏洞被公開在Github上

越南獨立安全研究人員Nguyen Jan，針對Microsoft Exchange服務器中稱爲ProxyLogon的一組漏洞，發佈了一個功能性的「概念驗證公共漏洞」利用程序，也就是說，他在Microsoft擁有的開放源代碼平臺上發佈了可用於黑客攻擊微軟客戶的代碼。

雖然該代碼不能「開箱即用 」，可是能夠很容易地經過調整變成黑客入侵的工具。

隨着該代碼的不斷傳播，愈來愈多的黑客發現了這組漏洞，如今已經發現了至少10組黑客對包括歐洲銀行業管理局、中東政府機構、南美政府機構的115個國家和地區的數十萬多臺服務器進行了攻擊。

總部位於斯洛伐克的網絡安全公司ESET確認了六個黑客組織：

• f：總部設在中國，該組織已在1月初開始利用這些漏洞。
• Tick（也稱爲Bronze Butler和RedBaldKnight）： 2月28日，即Microsoft發佈補丁程序的前兩天，該組織利用這些漏洞破壞了一家東亞IT服務公司的Web服務器。自2018年以來，Tick一直很活躍，主要針對日本的組織，也針對韓國，俄羅斯和新加坡的組織。
• LuckyMouse（APT27和Emissary Panda）： 3月1日，這個網絡間諜組織已經破壞了中亞和中東的多個政府網絡，並破壞了中東一個政府實體的電子郵件服務器。
• Calypso（與Xpath有聯繫）： 3月1日，該組織入侵了中東和南美政府機構的電子郵件服務器。在接下來的幾天裏，它繼續針對非洲，亞洲和歐洲的組織。Calypso的目標是這些地區的政府組織。
• Websiic： 3月1日，這個EPT從未見過的APT瞄準了屬於IT，電信和工程領域的七家亞洲公司和東歐一個政府機構的郵件服務器。
• Winnti（又名APT 41和Barium）：在Microsoft於3月2日發佈緊急補丁程序的幾個小時前，ESET數據顯示該組織損害了一家都位於東亞的石油公司和建築設備公司的電子郵件服務器。

代碼被刪除，做者僅收到一封郵件

在給做者發了一封郵件後，微軟旗下的 GitHub 刪除了這組代碼。

GitHub發言人表示：「咱們明白，發佈和分發概念驗證漏洞代碼對安全社區具備教育和研究價值，咱們的目標是平衡這種利益和保持更普遍的生態系統的安全，根據咱們的可接受使用政策，在有報道稱gist包含最近披露的一個正在被積極利用的漏洞的概念驗證代碼後，咱們禁用了gist。」

做者表示：「刪除代碼是能夠的，他發佈的代碼並非「開箱即用」，而是須要進行一些調整。不過他的代碼是根據真實的PoC寫出來的，因此會對真正研究這個Bug的人有所幫助。發博文的緣由是警告你們這個bug的關鍵性，讓他們在危險來臨以前，給本身的服務器打上最後一次補丁的機會！」

其實做者的作法很是正常，由於包括谷歌精英黑客團隊Project Zero在內的安全研究人員，常常會發布概念驗證的利用代碼，以展現漏洞如何被濫用，這種作法的目的就是教育社區中的其餘人，分享知識。

3月2日，Microsoft發佈了 緊急帶外安全更新 ，這些更新總共解決了四個零日問題（CVE-2021-26855，CVE-2021-26857，CVE-2021-26858和CVE-2021-27065），在過去三天內有數以萬計的Microsoft Exchange服務器進行了修補。不幸的是，仍然有大約80,000臺較舊的服務器沒法直接應用最新的安全更新，因此如今強烈建議全部組織儘快應用補丁。

攻擊原理

能找到這個勒索上VirusTotal [三個樣品1，  2，  3 ]，全部這些都是MingW平臺編譯的可執行文件。分析的一個包含如下PDB路徑：

啓動後，DearCry勒索軟件將嘗試關閉名爲「 msupdate」的Windows服務。不知道此服務是什麼，但它彷佛不是合法的Windows服務。

關閉msupdate服務的代碼

勒索軟件開始對計算機上的文件進行加密。加密文件時，它將在文件名後附加.CRYPT擴展名，以下所示。

DearCry加密文件

勒索軟件使用AES-256 + RSA-2048加密文件並添加「 DEARCRY！」字樣。每一個加密文件開頭的字符串。

加密文件中的DEARCRY文件標記

加密計算機後，勒索軟件將在Windows桌面上建立一個簡單的勒索便箋，名爲「 readme.txt」。該贖金記錄包含兩個威脅行爲者的電子郵件地址和一個惟一的哈希，Gillespie指出這是RSA公鑰的MD4哈希。

DearCry贖金記錄

越南獨立安全研究人員Nguyen Jan發佈漏洞的博文：

https://testbnull.medium.com/...