I ricercatori di GTSC hanno scoperto due nuove vulnerabilità zero-day nei server Microsoft Exchange, già sfruttate per installare la web shell Chinese Chopper che permette di rubare dati e accedere ai computer collegati alla rete locale. L’azienda di Redmond ha confermato il problema di sicurezza, promettendo il rilascio di una patch in tempi brevi.
Nuove vulnerabilità zero-day in Exchange
Gli esperti di GTSC hanno rilevato un attacco durante le attività di supporto ad un cliente. Nei log di IIS (Internet Information Services) sono state scoperte richieste nello stesso formato visto per le vulnerabilità ProxyShell. Il server Exchange era aggiornato quindi sono stati sfruttati altri bug. Per ovvi motivi non sono stati divulgati i dettagli tecnici.
I cybercriminali hanno usato varie tecniche per installare backdoor ed effettuare un “movimento laterale” (accesso ad altri computer collegati alla rete). I malware hanno permesso di rubare le credenziali e altre informazioni. Microsoft ha spiegato che le vulnerabilità, indicate con CVE-2022-41040 e CVE-2022-41082, sono presenti in Exchange Server 2013, 2016 e 2019.
L’azienda ha comunque sottolineato che le vulnerabilità possono essere sfruttate solo in caso di accesso autenticato al server. In attesa della patch è possibile aggiungere una regola di blocco tramite IIS Manager e bloccare l’accesso remoto alle porte HTTP 5985/5986. Defender for Endpoint e Defender Antivirus possono rilevare le webshell e le backdoor.