Se encontró otro error de día 0 en Microsoft Exchange, y los operadores de LockBit Ransomware lo están explotando

0-day in Microsoft Exchange

Aunque Microsoft todavía no ha solucionado las vulnerabilidades de ProxyNotShell encontradas en Exchange el mes pasado, La compañía ahora está investigando un informe de un nuevo error de día 0 que se utiliza para comprometer los servidores Exchange.. Los piratas informáticos están aprovechando este error para implementar el ransomware LockBit.

Déjame recordarte que también escribimos eso. token de proxy Vulnerabilidad permite robar correo intercambio de microsoft, y también eso FBI eliminó shells web de servidores vulnerables de Microsoft Exchange sin informar a los propietarios.

La empresa surcoreana AhnLab advirtió que los piratas informáticos abusaron otra vulnerabilidad de 0 días . Los investigadores informan que tienen conocimiento de al menos un incidente ocurrido en julio 2022, cuando los atacantes utilizaron un shell web previamente implementado en un servidor Exchange para elevar los privilegios al nivel de administrador de Active Directory y lo robaron 1.3 TB de datos y cifrar los sistemas de la empresa víctima.

Los expertos que investigaron el incidente escriben que a los atacantes les tomó sólo una semana capturar la cuenta de administrador de Active Directory.. Al mismo tiempo, el servidor Exchange parece haber sido comprometido usando algún tipo de «vulnerabilidad de día cero no revelada», aunque la empresa víctima recibió soporte técnico de Microsoft e instaló periódicamente actualizaciones de seguridad después de otro compromiso que tuvo lugar en diciembre. 2021.

Entre las vulnerabilidades reveladas después de mayo de este año, no hubo informes de vulnerabilidades relacionadas con la ejecución de comandos remotos o la creación de archivos. So given that the web shell was created on July 21, it looks like the attackers exploited an undisclosed zero-day vulnerability.los expertos explican.

Al mismo tiempo, AhnLab is not sure that the criminals did not exploit the already mentioned ProxyNotShell vulnerabilidades, although the attack tactics were completely different.

Perhaps, vulnerabilities in Microsoft Exchange Server (CVE-2022-41040, CVE-2022-41082) discovered by the Vietnamese information security company GTSC en septiembre 28 were used here, but the attack method, the generated web shell file name and subsequent attacks after creation do not match web shell. We believe that other attackers exploited a different zero-day vulnerability.los investigadores dicen.

Although AhnLab experts are not completely sure, it is worth noting that information security specialists are aware of at least three more undisclosed vulnerabilities in Exchange. Así que, el mes pasado, experts from the Iniciativa de día cero told Microsoft that they discovered three problems in Exchange at once, which they track under the identifiers ZDI-CAN-18881, ZDI-CAN-18882 y ZDI-CAN-18932. Following this, in early October, Tendencia Micro added signatures for three critical Microsoft Exchange zero-day vulnerabilities to its N-Platform, NX-Platform, or TPS security products.

Hasta ahora, Microsoft has not disclosed any information about these three bugs, and they have not yet been assigned CVE IDs.

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *