名为 LockFile 的新型勒索软件以 Microsoft Exchange 服务器为目标

　　勒索软件攻击者继续以 Microsoft Exchange 服务器为目标。

　　• 一种名为 LockFile 的新型勒索软件攻击目标是 Microsoft Exchange 服务器。

　　• 据安全研究人员称，LockFile 利用了 Microsoft Exchange 中的一系列漏洞，称为 ProxyShell。

　　• 如果成功，LockFile 可用于在整个网络中传播勒索软件。

　　microsoft Exchange 服务器对追踪它们的恶意攻击者并不陌生。现在，出现了一种称为 LockFile 的新威胁。根据赛门铁克的一份报告(通过PC Gamer)，该勒索软件至少自 2021 年 7 月 20 日起就被用于针对美国和亚洲的 Microsoft Exchange 服务器。如果成功，这种类型的攻击可以接管 Windows 域并加密设备。一旦完成，威胁行为者就可以在整个网络中传播勒索软件。

　　据赛门铁克称，LockFile 利用了一种称为 PetitPotam 的漏洞。虽然据信攻击者通过 Microsoft Exchange 服务器获得网络访问权限，然后使用 PetitPotam 漏洞，但赛门铁克表示“尚不清楚攻击者如何获得对 Microsoft Exchange 服务器的初始访问权限”。

　　与赛门铁克的声明相反，DoublePulsar 报告称该攻击利用了 Microsoft Exchange 中称为 ProxyShell 的漏洞。

　　Bleeping Computer解释说，ProxyShell 由“三个连锁的 Microsoft Exchange 漏洞组成，这些漏洞导致未经身份验证的远程代码执行”。这些漏洞最初是由Orange Tsai发现的。

　　微软于 2021 年 5 月修补了 ProxyShell 漏洞，但此后研究人员和攻击者能够重现该漏洞。

　　在最新的Microsoft Exchange累积更新修补在这些攻击中使用的ProxyShell漏洞。微软没有针对 PetitPotam 攻击的完整补丁。

　　网络安全和基础设施安全局也有关于漏洞的建议：

　　恶意网络攻击者正在积极利用以下 ProxyShell 漏洞：CVE-2021-34473、CVE-2021-34523和CVE-2021-31207。利用这些漏洞的攻击者可以在易受攻击的机器上执行任意代码。CISA 强烈敦促组织识别其网络上的易受攻击的系统，并从 2021 年 5 月起立即应用Microsoft 的安全更新(修复了所有三个 ProxyShell 漏洞)以防止这些攻击。