Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Campagna di Phishing ai danni del Ministero degli Affari Esteri e della Cooperazione Internazionale  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  TelegraMalware : Scoperti Oltre 1000 Bot per Intercettare Codici SMS e Notifiche  ///    scopri betti-rhc, il fumetto sul cybersecurity awareness    ///  Gli EDR/AV vanno Offline con Killer Ultra! Il malware degli operatori ransomware di Qilin  ///    Scropri i corsi di Red Hot Cyber    ///  Esce Dark Mirror. Il Primo Report di Dark Lab sul Fenomeno Ransomware relativo ad H1 2024  ///    Iscriviti al nostro canale Whatsapp    ///  Massiccia Violazione dei Dati Disney: 1,1 TiB di Informazioni Compromesse  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  Hai bisogno di una identità falsa? I Truffatori Professionisti usano Fotodropy Store!  ///    scopri betti-rhc, il fumetto sul cybersecurity awareness    ///  Muri Digitali: Kaspersy Lab Chiude gli Uffici negli Stati Uniti D’America!  ///    Scropri i corsi di Red Hot Cyber    ///  The Hackers Choice (THC): 30 anni di hacking senza voler diventare ricchi! L’intervista a VH e Skyper  ///    Iscriviti al nostro canale Whatsapp    ///  La Psicologia dietro gli Attacchi Informatici! il ruolo fondamentale delle emozioni dalle quali difenderci  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  Rockstar Games possibile vittima di un Enorme Data Leak!  ///  
Crowdstrike

Gli 0-day in Microsoft Exchange minacciano 220.000 server in tutto il mondo

Redazione RHC : 3 Ottobre 2022 09:47

Secondo Microsoft Corporation, nell’agosto 2022 un gruppo sconosciuto ha ottenuto l’accesso iniziale e ha compromesso i server Microsoft Exchange, utilizzando 2 vulnerabilità zero-day nei loro attacchi contro 10 organizzazioni in tutto il mondo.

Gli hacker hanno installato la shell web Chopper per facilitare l’accesso diretto alla tastiera, che hanno utilizzato per la ricognizione di Active Directory e l’esfiltrazione dei dati. 

Microsoft ha attribuito gli attacchi a un gruppo sponsorizzato dallo stato e ha aggiunto di aver già indagato sugli attacchi all’inizio di settembre nell’ambito della Zero Day Initiative.

Secondo il ricercatore di sicurezza informatica Kevin Beaumont, queste 2 vulnerabilità sono chiamate collettivamente ProxyNotShell a causa della somiglianza del formato con ProxyShell, ma ProxyNotShell richiede l’autenticazione per funzionare

I problemi sono elencati di seguito:

  • CVE-2022-41040 (CVSS: 8.8) è una vulnerabilità di privilege escalation in Microsoft Exchange Server.
  • CVE-2022-41082 (CVSS: 8.8) è una vulnerabilità legata all’esecuzione di codice in modalità remota in Microsoft Exchange Server.

Per sfruttare queste carenze è sufficiente autenticarsi come utente normale. 

Le credenziali utente standard possono essere ottenute ad esempio tramite un attacco di Password Spraying o acquistando le credenziali da un mercato underground.

Catena d’attacco

Le vulnerabilità sono state scoperte per la prima volta dalla società vietnamita di sicurezza delle informazioni GTSC nell’agosto 2022, come riportato recentemente su RHC.

Si ritiene che dietro le intrusioni ci sia un aggressore cinese. Da allora, CISA ha aggiunto le 2 vulnerabilità al suo catalogo KEV (Known Exploited Vulnerabilities), richiedendo alle agenzie federali di installare le patch entro il 21 ottobre 2022.

Microsoft ha affermato che sta lavorando duramente per correggere i bug. 

La società ha anche rilasciato un avviso di sicurezza e uno script di mitigazione della riscrittura degli URL che secondo Microsoft interrompe le attuali catene di attacco.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.