美国司法部（DoJ）周二表示，联邦调查局特工执行了一项法院授权的网络操作，以从其所有者不为人知的美国数百个以前被黑客入侵的Microsoft Exchange服务器中删除恶意Web外壳。

在1月份在全球范围内发生了针对Exchange Server安装的大规模狂野零日攻击浪潮之后，精明的组织争先恐后地锁定易受攻击的Microsoft电子邮件服务器并删除攻击者安装的Web Shell。

在Microsoft观察到的早期攻击中，攻击者能够利用一系列漏洞来访问本地Exchange服务器，从而可以访问电子邮件帐户，并允许安装其他恶意软件以促进对受害环境的长期访问。

不幸的是，许多组织无法修补系统和/或删除已安装的相关恶意软件。

FBI似乎是此类活动中的第一个已知操作，“ FBI删除了一个早期的黑客小组剩余的Web Shell，这些Web Shell可以用来维护和升级对美国网络的持久，未经授权的访问。”

根据法院文件，FBI代理通过通过Web Shell向服务器发出命令来删除Web Shell，该命令旨在使服务器仅删除Web Shell（由其唯一的文件路径标识）。

美国司法部解释说：“由于FBI拆除的每个Web外壳都有唯一的文件路径和名称，因此对于个人服务器所有者来说，检测和清除它们可能比其他Web外壳更具挑战性。”

尽管FBI代理复制并删除了Web外壳程序，使攻击者可以后门访问服务器，但组织可能还不清楚。

司法部说：“这项操作成功地复制和删除了这些网络外壳。” “但是，它没有修补任何Microsoft Exchange Server零日漏洞，也没有搜索或删除黑客团体通过利用Web Shell可能放置在受害网络上的任何其他恶意软件或黑客工具。”

尽管微软在一月份将最初的攻击归因于与中国有关联的HAFNIUM威胁参与者，但在公布了Exchange漏洞之后不久，多个黑客组织纷纷跟进。

HAFNIUM主要针对美国多个行业的实体，包括传染病研究人员，律师事务所，高等教育机构，国防承包商，政策智囊团和非政府组织。

在完成大部分工作之后，FBI现在正试图通知其清除Web Shell的计算机的所有者或操作员。

仍然认为自己的Microsoft Exchange Server仍然受到威胁的组织应联系当地的FBI外地办事处以寻求帮助。

该操作涉及的公司/组织名称和IP地址已从公开的法院文件中删除

就在本月Patch Tuesday捆绑包中修复了Exchange Server中的四个新的重要安全漏洞之时，该操作才得以揭晓。由于其他问题的严重性，Microsoft与美国国家安全局（NSA）合作，敦促立即部署新修补程序。