0-day в Microsoft Exchange угрожает 220 000 серверам по всему миру

По словам корпорации Microsoft , в августе 2022 года неизвестная группировка получила первоначальный доступ и взломала серверы Microsoft Exchange, использовав 2 уязвимости нулевого дня в своих атаках на 10 организаций по всему миру.

Хакеры устанавливали веб-оболочку Chopper для облегчения прямого доступа к клавиатуре, которую они использовали для разведки Active Directory и эксфильтрации данных. Microsoft приписала атаки спонсируемой государством группе и добавила, что она уже расследовала эти атаки в начале сентября в рамках программы Zero Day Initiative.

По словам исследователя кибербезопасности Кевина Бомонта, эти 2 уязвимости получили общее название ProxyNotShell из-за схожести формата с ProxyShell, но для эксплуатации ProxyNotShell нужна аутентификация, поэтому их невозможно исправить полностью. Проблемы перечислены ниже:

• CVE-2022-41040 (CVSS: 8,8) — уязвимость Microsoft Exchange Server, связанная с несанкционированным получением прав.
• CVE-2022-41082 (CVSS: 8,8) — уязвимость Microsoft Exchange Server, связанная с удаленным выполнением кода.

Для использования этих недостатков достаточно выполнить аутентификацию как обычный пользователь. Стандартные учетные данные пользователя могут быть получены с помощью атаки Password Spraying или покупки учетных данных на подпольном рынке.

Цепочка атак злоумышленника

Уязвимости были впервые обнаружены вьетнамской ИБ-компанией GTSC в августе 2022 года. Предполагается, что за вторжениями стоит китайский злоумышленник. После этого агентство CISA добавило 2 недостатка в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV), потребовав от федеральных агентств установить исправления к 21 октября 2022 года.

Microsoft заявила, что усиленно работает над устранением недостатков. Компания также выпустила рекомендации по безопасности и скрипт для смягчения последствий перезаписи URL, который, по словам Microsoft, нарушает текущие цепочки атак.