美國司法部週二（4/13）宣佈，美國法院已經授權美國聯邦調查局（FBI）得以複製與移除在美國境內本地部署的微軟Exchange Server上的惡意Web Shells，這應該是美國史上第一次由官方主動自遠端移除組織惡意程式的行動。

此事涉及到微軟於今年3月2日緊急修補的4個Exchange Server安全漏洞，當時，被統稱為ProxyLogon的CVE-2021-26855、CVE-2021-26857、CVE-2021 -26858與CVE-2021-27065等漏洞已遭到駭客開採，主要目的為竊取私密郵件，並於系統上安裝惡意的Web Shells，以便長期訪問。

不同的駭客組織不僅在今年1月與2月就開採了相關漏洞，在微軟於3月2日公佈及修補漏洞之後，引來了更多的駭客組織，且攻擊目的從單純的竊取郵件，擴大至植入挖礦程式與勒索軟體。根據安全企業ESET的統計，截至3月10日便至少有10組以上的駭客鎖定ProxyLogon漏洞展開攻擊。

儘管微軟、安全企業、FBI與美國網路安全暨基礎架構安全域性（CISA）都披露了漏洞修補程式與指南，微軟也釋出了惡意Web Shells的偵測工具，但美國司法部卻發現，雖然許多受感染系統的管理員已經成功移除數千臺計算機上的惡意Web Shells，但有些人顯然無法做到，依然留下了數百個惡意Web Shells。

不過，司法部強調，雖然該行動成功地複製與移除了這些Web Shells，但並未代替使用者修補ProxyLogon漏洞，也未移除駭客藉由開採這些Web Shells所植入的惡意程式或駭客工具，使用者依然要自行執行完整的移除與修補程式。

由於這次是FBI主動出擊，意味著這些被黑的Exchange Server主人並不知情，因此FBI也嘗試通知已被移除惡意Web Shells的Exchange Server所有人，若有公開聯絡資訊的會透過電子郵件通知，若缺乏聯絡資訊的，則會藉由ISP企業或其它服務供應商進行通知。