Aunque Microsoft todavía no ha solucionado las vulnerabilidades de ProxyNotShell encontradas en Exchange el mes pasado, La compañía ahora está investigando un informe de un nuevo error de día 0 que se utiliza para comprometer los servidores Exchange.. Los piratas informáticos están aprovechando este error para implementar el ransomware LockBit.
Déjame recordarte que también escribimos eso. token de proxy Vulnerabilidad permite robar correo intercambio de microsoft, y también eso FBI eliminó shells web de servidores vulnerables de Microsoft Exchange sin informar a los propietarios.
La empresa surcoreana AhnLab advirtió que los piratas informáticos abusaron otra vulnerabilidad de 0 días . Los investigadores informan que tienen conocimiento de al menos un incidente ocurrido en julio 2022, cuando los atacantes utilizaron un shell web previamente implementado en un servidor Exchange para elevar los privilegios al nivel de administrador de Active Directory y lo robaron 1.3 TB de datos y cifrar los sistemas de la empresa víctima.
Los expertos que investigaron el incidente escriben que a los atacantes les tomó sólo una semana capturar la cuenta de administrador de Active Directory.. Al mismo tiempo, el servidor Exchange parece haber sido comprometido usando algún tipo de «vulnerabilidad de día cero no revelada», aunque la empresa víctima recibió soporte técnico de Microsoft e instaló periódicamente actualizaciones de seguridad después de otro compromiso que tuvo lugar en diciembre. 2021.
Al mismo tiempo, AhnLab is not sure that the criminals did not exploit the already mentioned ProxyNotShell vulnerabilidades, although the attack tactics were completely different.
Although AhnLab experts are not completely sure, it is worth noting that information security specialists are aware of at least three more undisclosed vulnerabilities in Exchange. Así que, el mes pasado, experts from the Iniciativa de día cero told Microsoft that they discovered three problems in Exchange at once, which they track under the identifiers ZDI-CAN-18881, ZDI-CAN-18882 y ZDI-CAN-18932. Following this, in early October, Tendencia Micro added signatures for three critical Microsoft Exchange zero-day vulnerabilities to its N-Platform, NX-Platform, or TPS security products.
Hasta ahora, Microsoft has not disclosed any information about these three bugs, and they have not yet been assigned CVE IDs.