Embora os shells da web tenham sido removidos que forneciam aos invasores acesso aos Microsoft Exchange Servers, o FBI revelou que alguns softwares mal-intencionados podem permanecer que os hackers ainda usam como backdoors nas redes das vitimas.

Agora, as autoridades da Justia§a dos Estados Unidos iniciaram a ca³pia e remoção de web shells malignos de centenas de computadores que executam o software Microsoft Exchange Server local para operar seus servia§os de e-mail corporativo.

Esses ataques começam em janeiro e fevereiro de 2021, quando vários hackers descobriram e exploraram vulnerabilidades de dia zero no software Microsoft Exchange Server. Os hackers aproveitaram essas vulnerabilidades para configurar backdoors e obter acesso persistente a esses servidores, atéserem pegos em mara§o de 2021. Mesmo depois que os hackers iniciais foram descobertos, mais invasores procuraram maneiras de atacar após aplicação de patch e publicação dessas vulnerabilidades.

Enquanto milhares de vitimas desse ataque conseguiram remover esses backdoors, centenas de shells da web mal-intencionados não foram remediados. Para os servidores de destino que o FBI conseguiu recuperar, eles acabaram escrevendo um comando do shell da web para o servidor, fazendo com que o servidor exclua­sse o shell da web após identificar o caminho de arquivo exclusivo do shell.

Atéo momento, as autoridades expressaram um sentimento positivo em relação a  capacidade de organizações privadas e públicas de se unirem a s forças de segurança cibernanãtica para se opor a essa ameaa§a. Na verdade, o FBI já fez parceria com colegas internacionais da área para ficar de olho em outras vulnerabilidades e ameaa§as dessa natureza.

De fato, desde que esse ataque veio a  tona em mara§o, a Microsoft e seus vários parceiros tem feito esforços significativos para fornecer a seus milhares de clientes as informações e ferramentas para ajudar a mitigar essa ameaa§a, mesmo para as organizações cujos servidores já foram afetados.

No entanto, apesar de muitos usuários do Microsoft Exchange Server removerem com sucesso shells da web malignos em suas redes, o FBI avisa que as vulnerabilidades de dia zero originais ainda não foram totalmente corrigidas. Portanto, a empresa recomenda que todas as organizações afetadas continuem a monitorar e investigar seus ambientes em busca de possí­vel presença mal-intencionada.

Neste momento, o FBI pretende notificar todas as entidades de cujos servidores os shells da web maliciosos associados a esses ataques foram removidos. Eles esperam que os defensores da rede de organizações afetadas possam encontrar o desafio de detectar esses shells malignos da web com base em seu caminho e nome de arquivo exclusivo.

Por enquanto, o FBI e a Agência de Segurança de Infraestrutura e Segurança Cibernanãtica tem colaborado para uma Assessoria Conjunta no Microsoft Exchange Server para lidar com esse incidente.