Gli 0-day in Microsoft Exchange minacciano 220.000 server in tutto il mondo

Secondo Microsoft Corporation, nell’agosto 2022 un gruppo sconosciuto ha ottenuto l’accesso iniziale e ha compromesso i server Microsoft Exchange, utilizzando 2 vulnerabilità zero-day nei loro attacchi contro 10 organizzazioni in tutto il mondo.

Gli hacker hanno installato la shell web Chopper per facilitare l’accesso diretto alla tastiera, che hanno utilizzato per la ricognizione di Active Directory e l’esfiltrazione dei dati. 

Microsoft ha attribuito gli attacchi a un gruppo sponsorizzato dallo stato e ha aggiunto di aver già indagato sugli attacchi all’inizio di settembre nell’ambito della Zero Day Initiative.

Secondo il ricercatore di sicurezza informatica Kevin Beaumont, queste 2 vulnerabilità sono chiamate collettivamente ProxyNotShell a causa della somiglianza del formato con ProxyShell, ma ProxyNotShell richiede l’autenticazione per funzionare. 

I problemi sono elencati di seguito:

• CVE-2022-41040 (CVSS: 8.8) è una vulnerabilità di privilege escalation in Microsoft Exchange Server.
• CVE-2022-41082 (CVSS: 8.8) è una vulnerabilità legata all’esecuzione di codice in modalità remota in Microsoft Exchange Server.

Per sfruttare queste carenze è sufficiente autenticarsi come utente normale. 

Le credenziali utente standard possono essere ottenute ad esempio tramite un attacco di Password Spraying o acquistando le credenziali da un mercato underground.

Le vulnerabilità sono state scoperte per la prima volta dalla società vietnamita di sicurezza delle informazioni GTSC nell’agosto 2022, come riportato recentemente su RHC.

Si ritiene che dietro le intrusioni ci sia un aggressore cinese. Da allora, CISA ha aggiunto le 2 vulnerabilità al suo catalogo KEV (Known Exploited Vulnerabilities), richiedendo alle agenzie federali di installare le patch entro il 21 ottobre 2022.

Microsoft ha affermato che sta lavorando duramente per correggere i bug. 

La società ha anche rilasciato un avviso di sicurezza e uno script di mitigazione della riscrittura degli URL che secondo Microsoft interrompe le attuali catene di attacco.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.