Υψηλής σοβαρότητας 0-day επίθεση απειλεί 220.000 Microsoft Exchange διακομιστές

Η Microsoft επιβεβαίωσε αργά την Πέμπτη την ύπαρξη δύο κρίσιμων σημείων ευπάθειας στην εφαρμογή Exchange της που έχουν ήδη θέσει σε κίνδυνο πολλούς διακομιστές και αποτελούν σοβαρό κίνδυνο για περίπου 220.000 ακόμη σε όλο τον κόσμο. Τα επί του παρόντος μη επιδιορθωμένα ελαττώματα ασφαλείας εκμεταλλεύονται από κακόβουλες ομάδες από τις αρχές Αυγούστου, όταν η εταιρεία ασφαλείας GTSC με έδρα το Βιετνάμ ανακάλυψε ότι τα δίκτυα πελατών είχαν μολυνθεί με κακόβουλα webshells και ότι το αρχικό σημείο εισόδου ήταν κάποιο είδος ευπάθειας του Exchange. Το μυστηριώδες exploit έμοιαζε σχεδόν πανομοιότυπο με ένα Exchange zero-day από το 2021 που ονομάζεται ProxyShell, αλλά οι διακομιστές των πελατών είχαν επιδιορθωθεί όλοι έναντι της ευπάθειας, η οποία παρακολουθείται ως CVE-2021-34473. Τελικά, οι ερευνητές ανακάλυψαν ότι οι άγνωστοι κακόβουλοι χρήστες εκμεταλλεύονταν μια νέα ευπάθεια του Exchange.

Η ανάρτηση του GTSC της Τετάρτης ανέφερε ότι οι εισβολείς εκμεταλλεύονται το zero-day για να μολύνουν διακομιστές με webshells, μια διεπαφή κειμένου που τους επιτρέπει να εκδίδουν εντολές. Αυτά τα webshells περιέχουν απλοποιημένους κινεζικούς χαρακτήρες, με αποτέλεσμα οι ερευνητές να υποθέσουν ότι οι χάκερ μιλούν άπταιστα τα κινέζικα. Οι εντολές που εκδόθηκαν φέρουν επίσης την υπογραφή του China Chopper, ενός webshell που χρησιμοποιείται συνήθως από κινεζόφωνους φορείς απειλών, συμπεριλαμβανομένων πολλών προηγμένων ομάδων που είναι γνωστό ότι υποστηρίζονται από τη Λαϊκή Δημοκρατία της Κίνας. Το GTSC συνέχισε λέγοντας ότι το κακόβουλο λογισμικό που εγκαθιστούν τελικά οι φορείς απειλής μιμείται την Υπηρεσία Ιστού Exchange της Microsoft. Πραγματοποιεί επίσης σύνδεση με τη διεύθυνση IP 137[.]184[.]67[.]33, η οποία είναι κωδικοποιημένη στο binary αρχείο. Ο ανεξάρτητος ερευνητής Kevin Beaumont είπε ότι η διεύθυνση φιλοξενεί έναν ψεύτικο ιστότοπο με έναν μόνο χρήστη με ένα λεπτό χρόνο σύνδεσης και είναι ενεργή από τον Αύγουστο. Στη συνέχεια, το κακόβουλο λογισμικό στέλνει και λαμβάνει δεδομένα που είναι κρυπτογραφημένα με ένα κλειδί κρυπτογράφησης RC4 που δημιουργείται κατά το χρόνο εκτέλεσης. Ο Beaumont συνέχισε λέγοντας ότι το κακόβουλο λογισμικό backdoor φαίνεται να είναι νέο, πράγμα που σημαίνει ότι είναι η πρώτη φορά που χρησιμοποιείται.
Όσοι διαχειρίζονται διακομιστές Exchange εσωτερικής εγκατάστασης "θα πρέπει να εφαρμόζουν έναν κανόνα αποκλεισμού που εμποδίζει τους διακομιστές να αποδέχονται γνωστά μοτίβα επίθεσης", αναφέρει ο δικτυακός τόπος Ars Technica. Ο κανόνας μπορεί να εφαρμοστεί μεταβαίνοντας στο "IIS Manager -> Default Web Site -> URL Rewrite -> Actions". Προς το παρόν, η Microsoft συνιστά επίσης στους χρήστες να αποκλείουν τη θύρα HTTP 5985 και τη θύρα HTTPS 5986, τις οποίες οι εισβολείς χρειάζονται για να εκμεταλλευτούν το CVE-2022-41082. Περισσότερα μπορείτε να διαβάσετε εδώ.