Outro bug de dia 0 foi encontrado no Microsoft Exchange, e os operadores do LockBit Ransomware estão explorando isso

0-day in Microsoft Exchange

Embora a Microsoft ainda não tenha corrigido as vulnerabilidades do ProxyNotShell encontradas no Exchange no mês passado, a empresa agora está investigando um relatório de um novo bug de dia 0 que está sendo usado para comprometer servidores Exchange. Os hackers estão explorando esse bug para implantar o ransomware LockBit.

Deixe-me lembrá-lo de que também escrevemos isso ProxyToken Vulnerabilidade permite roubar correspondência Microsoft Exchange, e também isso FBI removeu web shells de servidores Microsoft Exchange vulneráveis ​​sem informar os proprietários.

A empresa sul-coreana AhnLab alertou que hackers abusaram outra vulnerabilidade de dia 0 . Pesquisadores relatam que têm conhecimento de pelo menos um incidente ocorrido em julho 2022, quando os invasores usaram um web shell implantado anteriormente em um servidor Exchange para elevar privilégios ao nível de administrador do Active Directory e roubar arquivos 1.3 TB de dados e criptografar sistemas de empresas vítimas.

Os especialistas que investigaram o incidente escrevem que os invasores levaram apenas uma semana para capturar a conta do administrador do Active Directory. Ao mesmo tempo, o servidor Exchange parece ter sido comprometido usando algum tipo de “vulnerabilidade não revelada de dia zero”, embora a empresa vítima tenha recebido suporte técnico da Microsoft e instalado regularmente atualizações de segurança após outro comprometimento ocorrido em dezembro 2021.

Entre as vulnerabilidades divulgadas após maio deste ano, não houve relatos de vulnerabilidades relacionadas à execução de comandos remotos ou à criação de arquivos. Considerando que o web shell foi criado em julho 21, parece que os invasores exploraram uma vulnerabilidade não revelada de dia zero.os especialistas explicam.

Ao mesmo tempo, AhnLab não tem certeza de que os criminosos não exploraram os já mencionados ProxyNotShell vulnerabilidades, embora as táticas de ataque fossem completamente diferentes.

Talvez, vulnerabilidades no Microsoft Exchange Server (CVE-2022-41040, CVE-2022-41082) descoberto pela empresa vietnamita de segurança da informação GTSC Em setembro 28 foram usados ​​aqui, mas o método de ataque, o nome do arquivo web shell gerado e os ataques subsequentes após a criação não correspondem ao web shell. Acreditamos que outros invasores exploraram uma vulnerabilidade diferente de dia zero.dizem os pesquisadores.

Embora os especialistas da AhnLab não tenham certeza absoluta, vale ressaltar que os especialistas em segurança da informação estão cientes de pelo menos mais três vulnerabilidades não divulgadas no Exchange. Então, mês passado, especialistas do Iniciativa Dia Zero disse à Microsoft que descobriu três problemas no Exchange de uma só vez, que eles rastreiam sob os identificadores ZDI-CAN-18881, ZDI-CAN-18882 e ZDI-CAN-18932. Seguindo isto, no início de outubro, Tendência Micro assinaturas adicionadas para três vulnerabilidades críticas de dia zero do Microsoft Exchange em sua plataforma N, Plataforma NX, ou produtos de segurança TPS.

Até aqui, A Microsoft não divulgou nenhuma informação sobre esses três bugs, e eles ainda não receberam IDs CVE.

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *