03/10/22
По словам корпорации Microsoft, в августе 2022 года неизвестная группировка получила первоначальный доступ и взломала серверы Microsoft Exchange, использовав 2 уязвимости нулевого дня в своих атаках на 10 организаций по всему миру.
Хакеры устанавливали веб-оболочку Chopper для облегчения прямого доступа к клавиатуре, которую они использовали для разведки Active Directory и эксфильтрации данных. Microsoft приписала атаки спонсируемой государством группе и добавила, что она уже расследовала эти атаки в начале сентября в рамках программы Zero Day Initiative.
По словам исследователя кибербезопасности Кевина Бомонта, эти 2 уязвимости получили общее название ProxyNotShell из-за схожести формата с ProxyShell, но для эксплуатации ProxyNotShell нужна аутентификация, поэтому их невозможно исправить полностью. Проблемы перечислены ниже:
- CVE-2022-41040 (CVSS: 8,8) — уязвимость Microsoft Exchange Server, связанная с несанкционированным получением прав.
- CVE-2022-41082 (CVSS: 8,8) — уязвимость Microsoft Exchange Server, связанная с удаленным выполнением кода.
Для использования этих недостатков достаточно выполнить аутентификацию как обычный пользователь, пишут в Securitylab. Стандартные учетные данные пользователя могут быть получены с помощью атаки Password Spraying или покупки учетных данных на подпольном рынке.
Уязвимости были впервые обнаружены вьетнамской ИБ-компанией GTSC в августе 2022 года. Предполагается, что за вторжениями стоит китайский злоумышленник. После этого агентство CISA добавило 2 недостатка в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV), потребовав от федеральных агентств установить исправления к 21 октября 2022 года.
Microsoft заявила, что усиленно работает над устранением недостатков. Компания также выпустила рекомендации по безопасности и скрипт для смягчения последствий перезаписи URL, который, по словам Microsoft, нарушает текущие цепочки атак.
