黑客入侵数十万微软邮箱帐户，缘由竟是漏洞被公开在Github上

越南独立安全研究人员Nguyen Jan，针对Microsoft Exchange服务器中称为ProxyLogon的一组漏洞，发布了一个功能性的「概念验证公共漏洞」利用程序，也就是说，他在Microsoft拥有的开放源代码平台上发布了可用于黑客攻击微软客户的代码。

虽然该代码不能「开箱即用 」，可是能够很容易地经过调整变成黑客入侵的工具。

随着该代码的不断传播，愈来愈多的黑客发现了这组漏洞，如今已经发现了至少10组黑客对包括欧洲银行业管理局、中东政府机构、南美政府机构的115个国家和地区的数十万多台服务器进行了攻击。

总部位于斯洛伐克的网络安全公司ESET确认了六个黑客组织：

• f：总部设在中国，该组织已在1月初开始利用这些漏洞。
• Tick（也称为Bronze Butler和RedBaldKnight）： 2月28日，即Microsoft发布补丁程序的前两天，该组织利用这些漏洞破坏了一家东亚IT服务公司的Web服务器。自2018年以来，Tick一直很活跃，主要针对日本的组织，也针对韩国，俄罗斯和新加坡的组织。
• LuckyMouse（APT27和Emissary Panda）： 3月1日，这个网络间谍组织已经破坏了中亚和中东的多个政府网络，并破坏了中东一个政府实体的电子邮件服务器。
• Calypso（与Xpath有联系）： 3月1日，该组织入侵了中东和南美政府机构的电子邮件服务器。在接下来的几天里，它继续针对非洲，亚洲和欧洲的组织。Calypso的目标是这些地区的政府组织。
• Websiic： 3月1日，这个EPT从未见过的APT瞄准了属于IT，电信和工程领域的七家亚洲公司和东欧一个政府机构的邮件服务器。
• Winnti（又名APT 41和Barium）：在Microsoft于3月2日发布紧急补丁程序的几个小时前，ESET数据显示该组织损害了一家都位于东亚的石油公司和建筑设备公司的电子邮件服务器。

代码被删除，做者仅收到一封邮件

在给做者发了一封邮件后，微软旗下的 GitHub 删除了这组代码。

GitHub发言人表示：「咱们明白，发布和分发概念验证漏洞代码对安全社区具备教育和研究价值，咱们的目标是平衡这种利益和保持更普遍的生态系统的安全，根据咱们的可接受使用政策，在有报道称gist包含最近披露的一个正在被积极利用的漏洞的概念验证代码后，咱们禁用了gist。」

做者表示：「删除代码是能够的，他发布的代码并非「开箱即用」，而是须要进行一些调整。不过他的代码是根据真实的PoC写出来的，因此会对真正研究这个Bug的人有所帮助。发博文的缘由是警告你们这个bug的关键性，让他们在危险来临以前，给本身的服务器打上最后一次补丁的机会！」

其实做者的作法很是正常，由于包括谷歌精英黑客团队Project Zero在内的安全研究人员，常常会发布概念验证的利用代码，以展现漏洞如何被滥用，这种作法的目的就是教育社区中的其余人，分享知识。

3月2日，Microsoft发布了 紧急带外安全更新 ，这些更新总共解决了四个零日问题（CVE-2021-26855，CVE-2021-26857，CVE-2021-26858和CVE-2021-27065），在过去三天内有数以万计的Microsoft Exchange服务器进行了修补。不幸的是，仍然有大约80,000台较旧的服务器没法直接应用最新的安全更新，因此如今强烈建议全部组织尽快应用补丁。

攻击原理

能找到这个勒索上VirusTotal [三个样品1，  2，  3 ]，全部这些都是MingW平台编译的可执行文件。分析的一个包含如下PDB路径：

启动后，DearCry勒索软件将尝试关闭名为“ msupdate”的Windows服务。不知道此服务是什么，但它彷佛不是合法的Windows服务。

关闭msupdate服务的代码

勒索软件开始对计算机上的文件进行加密。加密文件时，它将在文件名后附加.CRYPT扩展名，以下所示。

DearCry加密文件

勒索软件使用AES-256 + RSA-2048加密文件并添加“ DEARCRY！”字样。每一个加密文件开头的字符串。

加密文件中的DEARCRY文件标记

加密计算机后，勒索软件将在Windows桌面上建立一个简单的勒索便笺，名为“ readme.txt”。该赎金记录包含两个威胁行为者的电子邮件地址和一个惟一的哈希，Gillespie指出这是RSA公钥的MD4哈希。

DearCry赎金记录

越南独立安全研究人员Nguyen Jan发布漏洞的博文：

https://testbnull.medium.com/...