Gli 0-day in Microsoft Exchange minacciano 220.000 server in tutto il mondo

Redazione RHC : 3 Ottobre 2022 09:47

Secondo Microsoft Corporation, nell’agosto 2022 un gruppo sconosciuto ha ottenuto l’accesso iniziale e ha compromesso i server Microsoft Exchange, utilizzando 2 vulnerabilità zero-day nei loro attacchi contro 10 organizzazioni in tutto il mondo.

Gli hacker hanno installato la shell web Chopper per facilitare l’accesso diretto alla tastiera, che hanno utilizzato per la ricognizione di Active Directory e l’esfiltrazione dei dati. 

Microsoft ha attribuito gli attacchi a un gruppo sponsorizzato dallo stato e ha aggiunto di aver già indagato sugli attacchi all’inizio di settembre nell’ambito della Zero Day Initiative.

PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Secondo il ricercatore di sicurezza informatica Kevin Beaumont, queste 2 vulnerabilità sono chiamate collettivamente ProxyNotShell a causa della somiglianza del formato con ProxyShell, ma ProxyNotShell richiede l’autenticazione per funzionare. 

I problemi sono elencati di seguito:

• CVE-2022-41040 (CVSS: 8.8) è una vulnerabilità di privilege escalation in Microsoft Exchange Server.
• CVE-2022-41082 (CVSS: 8.8) è una vulnerabilità legata all’esecuzione di codice in modalità remota in Microsoft Exchange Server.

Per sfruttare queste carenze è sufficiente autenticarsi come utente normale. 

Le credenziali utente standard possono essere ottenute ad esempio tramite un attacco di Password Spraying o acquistando le credenziali da un mercato underground.

Le vulnerabilità sono state scoperte per la prima volta dalla società vietnamita di sicurezza delle informazioni GTSC nell’agosto 2022, come riportato recentemente su RHC.

Si ritiene che dietro le intrusioni ci sia un aggressore cinese. Da allora, CISA ha aggiunto le 2 vulnerabilità al suo catalogo KEV (Known Exploited Vulnerabilities), richiedendo alle agenzie federali di installare le patch entro il 21 ottobre 2022.

Microsoft ha affermato che sta lavorando duramente per correggere i bug. 

La società ha anche rilasciato un avviso di sicurezza e uno script di mitigazione della riscrittura degli URL che secondo Microsoft interrompe le attuali catene di attacco.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli