По данным вьетнамской компании GTSC, работающей в сфере информационной безопасности, злоумышленники используют две ранее неизвестные уязвимости для проведения атак на серверы Microsoft Exchange. Обнаруженные уязвимости позволяют хакерам осуществить удалённое выполнение кода, а в первые их удалось выявить в августе 2022 года.
Источник изображения: methodshop / pixabay.com
Речь идёт о двух уязвимостях, которым ещё не были присвоены идентификаторы CVE. Проект Zero Day Initiative отслеживает их под идентификаторами ZDI-Can-18333 (критичность 8,8 балла по шкале CVSS) и ZDI-CAN-18802 (критичность 6,3 балла по шкале CVSS). По данным GTSC, эксплуатация этих уязвимостей позволяет злоумышленникам взломать систему жертвы и осуществлять дальнейшие перемещения во внутренней сети.
«Мы обнаружили, что веб-оболочки, в основном обфусцированные, перебрасываются на серверы Exchange. Используя специальный user-agent, мы обнаружили, что злоумышленник использует Antsword, китайский кроссплатформенный инструмент для управления веб-сайтами с открытым исходным кодом, который открывает административный доступ к веб-консоли», — говорится в сообщении GTSC.
В компании считают, что за атаками на серверы Microsoft Exchange с помощью упомянутых уязвимостей стоит одна из китайских хакерских группировок. Помимо кода на упрощённом китайском языке на это указывает использование бэкдора China Chopper, предназначенного для того, чтобы дать злоумышленникам возможность в любое время повторно подключиться к системам жертвы. После проникновения в IT-системы жертвы хакеры, как правило, внедряют вредоносные DLL-библиотеки в память, а также загружают другое вредоносное ПО с помощью утилиты WMI.
Официальные представители Microsoft пока никак не комментируют данный вопрос. Вероятно, в скором времени софтверный гигант выпустит патч для устранения обнаруженных уязвимостей.
Источник: 3DNews