Хакери використовують для атак раніше невідомі вразливості Microsoft Exchange

За даними в’єтнамської компанії GTSC, що працює у сфері інформаційної безпеки, зловмисники використовують дві раніше невідомі вразливості для атак на сервери Microsoft Exchange. Виявлені вразливості дозволяють хакерам здійснити віддалене виконання коду, а перші їх вдалося виявити у серпні 2022 року.

Йдеться про дві вразливості, яким ще не були присвоєні ідентифікатори CVE. Проєкт Zero Day Initiative відстежує їх під ідентифікаторами ZDI-Can-18333 (критичність 8,8 бала за шкалою CVSS) та ZDI-CAN-18802 (критичність 6,3 бала за шкалою CVSS). За даними GTSC, експлуатація цих уразливостей дозволяє зловмисникам зламати систему жертви та здійснювати подальші переміщення у внутрішній мережі.

«Ми виявили, що веб-оболонки, переважно обфусцовані, перекидаються на сервери Exchange. Використовуючи спеціальний user-agent, ми виявили, що зловмисник використовує Antsword, китайський кросплатформовий інструмент для управління веб-сайтами з відкритим вихідним кодом, який відкриває адміністративний доступ до веб-консолі», — йдеться у повідомленні GTSC.

У компанії вважають, що за атаками на сервери Microsoft Exchange за допомогою згаданих уразливостей стоїть одне з китайських угруповань хакерів. Крім коду спрощеною китайською мовою, на це вказує використання бекдору China Chopper, призначеного для того, щоб дати зловмисникам можливість у будь-який час повторно під’єднатися до систем жертви. Після проникнення в IT-системи жертви хакери зазвичай впроваджують шкідливі DLL-бібліотеки в пам’ять, а також завантажують інше шкідливе ПЗ за допомогою утиліти WMI.

Офіційні представники Microsoft поки не коментують це питання. Ймовірно, незабаром софтверний гігант випустить патч для усунення виявлених уразливостей. Джерело