0-day σε Microsoft Exchange Servers

Η Microsoft επιβεβαίωσε αργά την Πέμπτη την ύπαρξη δύο κρίσιμων κενών ασφαλείας στην εφαρμογή . Τα δύο σφάλματα χρησιμοποιούνται ήδη από κακόβουλους χρήστες και αποτελούν σοβαρό κίνδυνο για περίπου 220.000 σε όλο τον κόσμο.

bug

Τα μη επιδιορθωμένα κενά ασφαλείας αποτελούν αντικείμενο ενεργητικής εκμετάλλευσης από τις αρχές Αυγούστου, όταν η εταιρεία ασφαλείας GTSC με έδρα το Βιετνάμ ανακάλυψε ότι δίκτυα πελατών της είχαν μολυνθεί με κακόβουλα webshells και ότι το αρχικό σημείο εισόδου ήταν μια ευπάθεια του Exchange.

Το μυστηριώδες exploit ήταν σχεδόν πανομοιότυπο με ένα Exchange zero-day από το 2021 που ονομάζεται ProxyShell, αλλά οι διακομιστές των πελατών είχαν επιδιορθωθεί για αυτή την ευπάθεια, που έχει αναφερθεί σαν CVE-2021-34473.

Τελικά, οι ερευνητές ανακάλυψαν ότι οι άγνωστοι hacker εκμεταλλεύονταν μια νέα ευπάθεια του Exchange.

Η ανάρτηση της GTSC ανέφερε ότι οι εισβολείς εκμεταλλεύονται το zero-day για να μολύνουν διακομιστές με webshells, κάτι που τους επιτρέπει να τρέχουν κακόβουλες εντολές. Αυτά τα webshells περιέχουν απλοποιημένους κινεζικούς χαρακτήρες, και οι ερευνητές υποθέτουν ότι οι hacker μιλούν άπταιστα τα κινέζικα.

Η GTSC αναφέρει ότι το κακόβουλο λογισμικό που εγκαθιστούν τελικά οι hackers μιμείται την Υπηρεσία Ιστού Exchange της Microsoft και πραγματοποιεί με τη διεύθυνση IP 137[.]184[.]67[.]33, η οποία είναι κωδικοποιημένη στο binary.

Ο ανεξάρτητος ερευνητής Kevin Beaumont ανέφερε ότι η διεύθυνση φιλοξενεί έναν ψεύτικο ιστότοπο με έναν μόνο χρήστη και είναι ενεργή από τον Αύγουστο. Στη συνέχεια, το κακόβουλο λογισμικό στέλνει και λαμβάνει δεδομένα που είναι κρυπτογραφημένα με ένα κλειδί κρυπτογράφησης RC4 που δημιουργείται κατά το χρόνο εκτέλεσης της εντολής. Ο Beaumont αναφέρει ότι το φαίνεται να είναι νέο.

ΑΝ τρέχετε διακομιστές Exchange εσωτερικής εγκατάστασης “θα πρέπει να εφαρμόσετε άμεσα έναν κανόνα αποκλεισμού που εμποδίζει τους διακομιστές να αποδέχονται γνωστά μοτίβα επίθεσης”. Ο κανόνας μπορεί να βρεθεί στην δημοσίευση της Microsoft.

“Προς το παρόν, η Microsoft συνιστά επίσης στους χρήστες να αποκλείουν τη θύρα HTTP 5985 και τη θύρα 5986, τις οποίες χρησιμοποιούν οι εισβολείς για να εκμεταλλευτούν το CVE-2022-41082.”

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















giorgos

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).