Η Microsoft επιβεβαίωσε αργά την Πέμπτη την ύπαρξη δύο κρίσιμων κενών ασφαλείας στην εφαρμογή Exchange. Τα δύο σφάλματα χρησιμοποιούνται ήδη από κακόβουλους χρήστες και αποτελούν σοβαρό κίνδυνο για περίπου 220.000 servers σε όλο τον κόσμο.
Τα μη επιδιορθωμένα κενά ασφαλείας αποτελούν αντικείμενο ενεργητικής εκμετάλλευσης από τις αρχές Αυγούστου, όταν η εταιρεία ασφαλείας GTSC με έδρα το Βιετνάμ ανακάλυψε ότι δίκτυα πελατών της είχαν μολυνθεί με κακόβουλα webshells και ότι το αρχικό σημείο εισόδου ήταν μια ευπάθεια του Exchange.
Το μυστηριώδες exploit ήταν σχεδόν πανομοιότυπο με ένα Exchange zero-day από το 2021 που ονομάζεται ProxyShell, αλλά οι διακομιστές των πελατών είχαν επιδιορθωθεί για αυτή την ευπάθεια, που έχει αναφερθεί σαν CVE-2021-34473.
Τελικά, οι ερευνητές ανακάλυψαν ότι οι άγνωστοι hacker εκμεταλλεύονταν μια νέα ευπάθεια του Exchange.
Η ανάρτηση της GTSC ανέφερε ότι οι εισβολείς εκμεταλλεύονται το zero-day για να μολύνουν διακομιστές με webshells, κάτι που τους επιτρέπει να τρέχουν κακόβουλες εντολές. Αυτά τα webshells περιέχουν απλοποιημένους κινεζικούς χαρακτήρες, και οι ερευνητές υποθέτουν ότι οι hacker μιλούν άπταιστα τα κινέζικα.
Η GTSC αναφέρει ότι το κακόβουλο λογισμικό που εγκαθιστούν τελικά οι hackers μιμείται την Υπηρεσία Ιστού Exchange της Microsoft και πραγματοποιεί σύνδεση με τη διεύθυνση IP 137[.]184[.]67[.]33, η οποία είναι κωδικοποιημένη στο binary.
Ο ανεξάρτητος ερευνητής Kevin Beaumont ανέφερε ότι η διεύθυνση φιλοξενεί έναν ψεύτικο ιστότοπο με έναν μόνο χρήστη και είναι ενεργή από τον Αύγουστο. Στη συνέχεια, το κακόβουλο λογισμικό στέλνει και λαμβάνει δεδομένα που είναι κρυπτογραφημένα με ένα κλειδί κρυπτογράφησης RC4 που δημιουργείται κατά το χρόνο εκτέλεσης της εντολής. Ο Beaumont αναφέρει ότι το backdoor φαίνεται να είναι νέο.
ΑΝ τρέχετε διακομιστές Exchange εσωτερικής εγκατάστασης “θα πρέπει να εφαρμόσετε άμεσα έναν κανόνα αποκλεισμού που εμποδίζει τους διακομιστές να αποδέχονται γνωστά μοτίβα επίθεσης”. Ο κανόνας μπορεί να βρεθεί στην δημοσίευση της Microsoft.
“Προς το παρόν, η Microsoft συνιστά επίσης στους χρήστες να αποκλείουν τη θύρα HTTP 5985 και τη θύρα HTTPS 5986, τις οποίες χρησιμοποιούν οι εισβολείς για να εκμεταλλευτούν το CVE-2022-41082.”
