04.10.2022 | 0-day в Microsoft Exchange угрожает 220 000 серверам по всему миру |
По словам корпорации Microsoft , в августе 2022 года неизвестная группировка получила первоначальный доступ и взломала серверы Microsoft Exchange, использовав 2 уязвимости нулевого дня в своих атаках на 10 организаций по всему миру. Хакеры устанавливали веб-оболочку Chopper для облегчения прямого доступа к клавиатуре, которую они использовали для разведки Active Directory и эксфильтрации данных. Microsoft приписала атаки спонсируемой государством группе и добавила, что она уже расследовала эти атаки в начале сентября в рамках программы Zero Day Initiative. По словам исследователя кибербезопасности Кевина Бомонта, эти 2 уязвимости получили общее название ProxyNotShell из-за схожести формата с ProxyShell, но для эксплуатации ProxyNotShell нужна аутентификация, поэтому их невозможно исправить полностью. Проблемы перечислены ниже:
Для использования этих недостатков достаточно выполнить аутентификацию как обычный пользователь. Стандартные учетные данные пользователя могут быть получены с помощью атаки Password Spraying или покупки учетных данных на подпольном рынке. Цепочка атак злоумышленника Уязвимости были впервые обнаружены вьетнамской ИБ-компанией GTSC в августе 2022 года. Предполагается, что за вторжениями стоит китайский злоумышленник. После этого агентство CISA добавило 2 недостатка в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV), потребовав от федеральных агентств установить исправления к 21 октября 2022 года. Microsoft заявила, что усиленно работает над устранением недостатков. Компания также выпустила рекомендации по безопасности и скрипт для смягчения последствий перезаписи URL, который, по словам Microsoft, нарушает текущие цепочки атак. |
Проверить безопасность сайта