Redazione RHC : 3 Ottobre 2022 09:47
Secondo Microsoft Corporation, nell’agosto 2022 un gruppo sconosciuto ha ottenuto l’accesso iniziale e ha compromesso i server Microsoft Exchange, utilizzando 2 vulnerabilità zero-day nei loro attacchi contro 10 organizzazioni in tutto il mondo.
Gli hacker hanno installato la shell web Chopper per facilitare l’accesso diretto alla tastiera, che hanno utilizzato per la ricognizione di Active Directory e l’esfiltrazione dei dati.
Microsoft ha attribuito gli attacchi a un gruppo sponsorizzato dallo stato e ha aggiunto di aver già indagato sugli attacchi all’inizio di settembre nell’ambito della Zero Day Initiative.
Vuoi diventare un Ethical Hacker?
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
375 593 1011
per richiedere informazioni dicendo che hai trovato il numero sulle pagine di Red Hot Cyber
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Secondo il ricercatore di sicurezza informatica Kevin Beaumont, queste 2 vulnerabilità sono chiamate collettivamente ProxyNotShell a causa della somiglianza del formato con ProxyShell, ma ProxyNotShell richiede l’autenticazione per funzionare.
I problemi sono elencati di seguito:
Per sfruttare queste carenze è sufficiente autenticarsi come utente normale.
Le credenziali utente standard possono essere ottenute ad esempio tramite un attacco di Password Spraying o acquistando le credenziali da un mercato underground.
Le vulnerabilità sono state scoperte per la prima volta dalla società vietnamita di sicurezza delle informazioni GTSC nell’agosto 2022, come riportato recentemente su RHC.
Si ritiene che dietro le intrusioni ci sia un aggressore cinese. Da allora, CISA ha aggiunto le 2 vulnerabilità al suo catalogo KEV (Known Exploited Vulnerabilities), richiedendo alle agenzie federali di installare le patch entro il 21 ottobre 2022.
Microsoft ha affermato che sta lavorando duramente per correggere i bug.
La società ha anche rilasciato un avviso di sicurezza e uno script di mitigazione della riscrittura degli URL che secondo Microsoft interrompe le attuali catene di attacco.
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009