попередження: невиправлений Microsoft Exchange Zero-Day знаходиться в активній експлуатації
Виявлені недоліки офіційно підтверджені представниками Microsoft, фахівці якої працюють над вирішенням проблеми
В'єтнамська компанія з кібербезпеки GTSC виявила недоліки в нібито виправлених серверах Microsoft Exchange. Але стало відомо, що зловмисники використовують ці недоліки в реальних атаках для віддаленого виконання коду в уразливих системах, повідомив The Hacker News 30 вересня 2022 року.
Група дослідників GTSC доклала певних зусиль у процес моніторингу безпеки серверів Microsoft Exchange ще в серпні 2022 року. Були виявлені вразливості, хоча досі їм не присвоїли офіційного ідентифікатора CVE. Однак те, з чим працюють дослідники, відповідає оцінкам CVE 8,8 та 6,3 одиниць.
GTSC заявила, що використання вразливостей може привести до закріплення в системах жертви, а значить, зловмисники зможуть «скинути» веб-оболонку, щоб виконувати «бічні переміщення» по скомпрометованій мережі, отримуючи контроль над віддаленими системами. Виявлені веб-оболонки характеризуються як заплутані, вони потрапляють на сервери Exchange, а потім за допомогою китайського інструменту адміністрування веб-сайтів з відкритим вихідним кодом Antsword, хакери отримують контроль над системою.
GTSC вже виправляли цільові сервери, але знову зіткнулися із запитами на експлуатацію в журналах IIS у форматі, відповідному вразливостей ProxyShell Exchange Server. Компанія з кібербезпеки припускають, що атаки виходять від китайської хакерської групи, враховуючи інструментарій і факт того, що кодування веб-шелла відображається на спрощеній китайській мові (кодова сторінка Windows 936).
Раніше «WorldBank.org.ua» розповів про те, що хакери використовують шкідливий протокол авторизації OAuth для контролю поштових серверів.