Хотя Microsoft до сих пор не исправила уязвимости нулевого дня ProxyNotShell, обнаруженные в Exchange в прошлом месяце, теперь в компании расследуют сообщение о новой уязвимости нулевого дня, которая используется для взлома серверов Exchange. Хакеры эксплуатируют этот баг для развертывания шифровальщика LockBit.
Об использовании еще одной 0-day уязвимости хакерами предупредили специалисты южнокорейской компании AhnLab. Исследователи сообщают, что им известно как минимум об одном инциденте, произошедшем в июле 2022 года, когда злоумышленники использовали ранее развернутый веб-шелл на сервере Exchange для повышения привилегий до уровня администратора Active Directory, кражи 1,3 Тб данных и шифрования систем компании-жертвы.
Эксперты, которые занимались расследованием случившегося, пишут, что злоумышленникам потребовалась всего неделя, чтобы захватить учетную запись администратора Active Directory. При этом сервер Exchange, похоже, был взломан с помощью некой «нераскрытой уязвимости нулевого дня», хотя компания-жертва получала техническую поддержку от Microsoft и регулярно устанавливала обновления безопасности после другой компрометации, имевшей место в декабре 2021 года.
«Среди уязвимостей, раскрытых после мая текущего года, не было сообщений об уязвимостях, связанных с выполнением удаленных команд или созданием файлов, — объясняют специалисты. — Поэтому, учитывая, что веб-шелл был создан 21 июля, похоже, злоумышленники использовали нераскрытую уязвимость нулевого дня».
При этом в AhnLab не уверены, что преступники не эксплуатировали уже упомянутые уязвимости ProxyNotShell, хотя тактики атак были совсем не похожи.
«Возможно, здесь использовались уязвимости в Microsoft Exchange Server (CVE-2022-41040, CVE-2022-41082), обнаруженные вьетнамской ИБ-компанией GTSC 28 сентября, но не совпадают метод атаки, сгенерированное имя файла веб-шелла и последующие атаки после создания веб-шелла. Мы полагаем, что другие злоумышленники использовали другую уязвимость нулевого дня», — говорят исследователи.
Хотя полной уверенности у экспертов AhnLab нет, стоит отметить, что ИБ-специалистам известно как минимум еще о трех нераскрытых уязвимостях в Exchange. Так, в прошлом месяце эксперты Zero Day Initiative сообщили Microsoft, что они обнаружили в Exchange сразу три проблемы, которые отслеживают под идентификаторами ZDI-CAN-18881, ZDI-CAN-18882 и ZDI-CAN-18932. После этого, в начале октября, компания Trend Micro добавила сигнатуры трех критических уязвимостей нулевого дня в Microsoft Exchange в свои защитные продукты N-Platform, NX-Platform или TPS.
Пока Microsoft не раскрывала никакой информации об этих трех багах, и им еще не были присвоены идентификаторы CVE.
