Microsoft ha pubblicato le informazioni dettagliate sugli attacchi effettuato contro alcuni server Exchange, sfruttando due vulnerabilità zero-day (scoperte dai ricercatori di GTSC). L’azienda di Redmond ha illustrato la catena di infezione, consigliando i possibili rimedi temporanei in attesa del rilascio della patch.
Furto di credenziali e dati aziendali
Le due vulnerabilità sono presenti in Exchange Server 2013, 2016 e 2019. La prima, identificata come CVE-2022-41040, è di tipo SSRF (server-side request forgery) mentre la seconda, identificata come CVE-2022-41082, consente l’esecuzione di codice remoto quando Exchange PowerShell è accessibile ai cybercriminali.
Le vulnerabilità possono essere sfruttate solo tramite accesso autenticato. Sono tuttavia sufficienti le credenziali di un utente standard (non servono i permessi di amministratore), che possono essere ottenute tramite password spray o acquistate nel dark web. Le vulnerabilità possono essere incluse nei toolkit usati per distribuire ransomware.
Dopo aver inviato una richiesta HTTP alla porta 443, i cybercriminali sfruttano la vulnerabilità CVE-2022-41040 per accedere al server Exchange e sfruttare la vulnerabilità CVE-2022-41082 per eseguire codice remoto, ovvero la web shell Chopper. A questo punto è possibile eseguire varie attività, tra cui il furto delle credenziali Active Directory, l’esfiltrazione dei dati e l’accesso ad altri computer collegati alla rete (movimento laterale).
Per bloccare la catena di infezione è possibile utilizzare lo script PowerShell pubblicato da Microsoft. Defender for Endpoint e Defender Antivirus rilevano e bloccano le webshell usate per gli attacchi.