Зловмисники організували атаки на користувачів Microsoft Exchange. Про це повідомляє видання Bleeping Computer.
Про вразливості, об’єднані під загальною назвою ProxyShell, на конференції Black Hat розповів фахівець з безпеки Оранж Цай (Orange Tsai). На даний момент експерти згадують три різновиди вразливостей під назвами CVE-2021-34473, CVE-2021-34523 і CVE-2021-31207. Творці шкідливого ПО сканують мережу в пошуках незахищених корпоративних систем і впроваджують в них модифіковані програми.
Зловмисники використовують веб-оболонку сервісу для завантаження особливого ПЗ в папку з віддаленим доступом. Документи створюються в системному розділі Windows за адресою C:\Windows\System32 і в кореневому каталозі самої програми Microsoft Exchange, використовуваної для обміну повідомленнями та документами в корпоративному середовищі. Також творці вірусного ПЗ запускають віддалений завантажувач ApplicationUpdate.exe, який відкриває виконуваний файл ApplicationUpdate.exe щодня о першій годині ночі.
За словами експертів, їм відомі не тільки методи злому, але і веб-адреси, за допомогою яких невідомі зламують корпоративні мережі клієнтів Microsoft. Автори помітили, що в зоні ризику знаходяться ті користувачі, що не оновлюють Microsoft Exchange. У зв’язку з цим фахівці радять регулярно встановлювати оновлення від Microsoft на своїх комп’ютерах.