ProxyLogon由四个漏洞(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)组成，这些漏洞可以被同时利用，用来创建一个预认证远程代码执行(RCE)漏洞。这意味着攻击者可以在不知道任何有效账户凭证的情况下接管服务器。这使得他们能够访问电子邮件通信系统，他们还有机会上传一个webshell文件，还可以更进一步地攻击网络，例如部署勒索软件等。

虽然官方已经发布了补丁，但这对于那些已经被入侵了的电脑毫无作用。

司法部在周二的公告中解释说："许多被感染了的系统的管理员已经从计算机上删除了webshell文件，但并不是所有的管理员都能这样做到，现在仍有数百个这样的webshell文件存在。"

这种紧急的情况也促使了FBI采取行动。在此次法院授权的行动中，FBI通过web shell向受影响的服务器发出了一系列命令。这些命令可以使服务器删除webshell文件(由其唯一的文件路径识别)。

司法部国家安全司助理司法部长John Demers在声明中说:"今天法院授权删除恶意webshell，表明了司法部门在积极利用我们的法律工具。"

FBI单方面采取行动调查ProxyLogon的漏洞

此次行动的其他技术细节仍然处于保密状态，但JupiterOne创始人兼CEO Erkang Zheng指出，这一行动是过去前所未有的。

他通过电子邮件表示："让人真正感兴趣的是法院下令宣布要对有漏洞的系统进行远程修复，这是第一次发生这种情况，有了这个作为先例，以后法院可能经常会对有漏洞的系统进行修复。如今许多企业不知道他们的基础设施的安全状态是什么样的，这个问题对于首席信息安全官来说是一个巨大的挑战。"

新网科技安全研究全球副总裁Dirk Schrader指出，由于FBI在这方面缺乏透明度，出现了很多问题。

他告诉Threatpost:"这里面有几个关键问题，一个是FBI表示这一行动是因为这些受害者缺乏自己保证基础设施安全的能力，另一个是FBI推迟了一个月才通知受害者自己系统中的webshell已经被清除。"

他解释说："这可能会引出其他的问题，因为受害者不知道他们的系统被访问了什么内容，是否在系统中安装了其他的后门，这种做法会伴随着其他一系列的问题出现。"