越南獨立安全研究人員Nguyen Jan，針對Microsoft Exchange伺服器中稱為ProxyLogon的一組漏洞，釋出了一個功能性的「概念驗證公共漏洞」利用程式，也就是說，他在Microsoft擁有的開放原始碼平臺上釋出了可用於駭客攻擊微軟客戶的程式碼。

雖然該程式碼不能「開箱即用 」，但是可以很容易地透過調整變成駭客入侵的工具。

隨著該程式碼的不斷傳播，越來越多的駭客發現了這組漏洞，現在已經發現了至少10組駭客對包括歐洲銀行業管理局、中東政府機構、南美政府機構的115個國家和地區的數十萬多臺伺服器進行了攻擊。

總部位於斯洛伐克的網路安全公司ESET確認了六個駭客組織：

f：總部設在中國，該組織已在1月初開始利用這些漏洞。Tick（也稱為Bronze Butler和RedBaldKnight）： 2月28日，即Microsoft釋出補丁程式的前兩天，該組織利用這些漏洞破壞了一家東亞IT服務公司的Web伺服器。自2018年以來，Tick一直很活躍，主要針對日本的組織，也針對韓國，俄羅斯和新加坡的組織。LuckyMouse（APT27和Emissary Panda）： 3月1日，這個網路間諜組織已經破壞了中亞和中東的多個政府網路，並破壞了中東一個政府實體的電子郵件伺服器。Calypso（與Xpath有聯絡）： 3月1日，該組織入侵了中東和南美政府機構的電子郵件伺服器。在接下來的幾天裡，它繼續針對非洲，亞洲和歐洲的組織。Calypso的目標是這些地區的政府組織。Websiic： 3月1日，這個EPT從未見過的APT瞄準了屬於IT，電信和工程領域的七家亞洲公司和東歐一個政府機構的郵件伺服器。Winnti（又名APT 41和Barium）：在Microsoft於3月2日釋出緊急補丁程式的幾個小時前，ESET資料顯示該組織損害了一家都位於東亞的石油公司和建築裝置公司的電子郵件伺服器。程式碼被刪除，作者僅收到一封郵件

在給作者發了一封郵件後，微軟旗下的 GitHub 刪除了這組程式碼。

其實作者的做法非常正常，因為包括谷歌精英駭客團隊Project Zero在內的安全研究人員，經常會發布概念驗證的利用程式碼，以展示漏洞如何被濫用，這種做法的目的就是教育社群中的其他人，分享知識。

3月2日，Microsoft釋出了 緊急帶外安全更新 ，這些更新總共解決了四個零日問題（CVE-2021-26855，CVE-2021-26857，CVE-2021-26858和CVE-2021-27065），在過去三天內有數以萬計的Microsoft Exchange伺服器進行了修補。不幸的是，仍然有大約80,000臺較舊的伺服器無法直接應用最新的安全更新，所以現在強烈建議所有組織儘快應用補丁。

攻擊原理

能找到這個勒索上VirusTotal [三個樣品1， 2， 3 ]，所有這些都是MingW平臺編譯的可執行檔案。分析的一個包含以下PDB路徑：

啟動後，DearCry勒索軟體將嘗試關閉名為“ msupdate”的Windows服務。不知道此服務是什麼，但它似乎不是合法的Windows服務。

關閉msupdate服務的程式碼

勒索軟體開始對計算機上的檔案進行加密。加密檔案時，它將在檔名後附加.CRYPT副檔名，如下所示。

DearCry加密檔案

勒索軟體使用AES-256 + RSA-2048加密檔案並新增“ DEARCRY！”字樣。每個加密檔案開頭的字串。

加密檔案中的DEARCRY檔案標記

加密計算機後，勒索軟體將在Windows桌面上建立一個簡單的勒索便箋，名為“ readme.txt”。該贖金記錄包含兩個威脅行為者的電子郵件地址和一個唯一的雜湊，Gillespie指出這是RSA公鑰的MD4雜湊。

DearCry贖金記錄

越南獨立安全研究人員Nguyen Jan釋出漏洞的博文：

https://testbnull.medium.com/ph%C3%A2n-t%C3%ADch-l%E1%BB%97-h%E1%BB%95ng-proxylogon-mail-exchange-rce-s%E1%BB%B1-k%E1%BA%BFt-h%E1%BB%A3p-ho%C3%A0n-h%E1%BA%A3o-cve-2021-26855-37f4b6e06265