Microsoft ha individuato un'ondata di attacchi legati alla campagna ransomware Lockbit: sta sfruttando una nuova vulnerabilità 0day.
Microsoft sta analizzando una serie di segnalazioni relative all'uso di una vulnerabilità 0day sfruttata dal servizio ransomware Lockbit per attaccare i server Exchange. La prima individuazione di attacchi che sfruttano questa 0day in realtà risale al Luglio 2022: in questo caso gli attaccanti, affiliati di Lockbit, hanno usato una webshell distribuita in precedenza su un server Exchange per l'escalation dei privilegi di amministrazione nell'Active Directory. Sono così riusciti a rubare più di 1 TB e a criptare i sistemi aziendali. I ricercatori di AhnLab, che per primi hanno analizzato la 0day, riferiscono che gli attaccanti hanno impiegato una settimana per acquisire l'account admin dell'Active Directory. La compromissione è stata possibile grazie, appunto, ad una "0-day non divulgata".
Per saperne di più > Ransomware: LockBit 3.0 debutta anche in Italia
Nuova vulnerabilità 0day di Microsoft Exchange
A poco meno di due settimane di distanza, quindi, ci risiamo. Microsoft non ha ancora patchato le 0day ribattezzate ProxyNotShell e la cosa si fa preoccupante perchè è emerso che anche le misure di mitigazione suggerite dalla corporation stessa possono essere bypassate. Il Patching Tuesday di Ottobre è passato, ma proxyNotShell resta irrisolta.
Per approfondire > Microsoft Exchange: due vulnerabilità 0-day usate in attacchi reali contro le aziende
I Ricercatori di AhanLab spiegano di non essere certi che, nell'attacco di Luglio, siano state sfruttate le vulnerabilità ProxyNotShell o altre, perché le tattiche di attacco usate sono diverse.
"Esiste la possibilità che le vulnerabilità di Microsoft Exchange Server (CVE-2022-41040, CVE-2022-41082) [...], siano state utilizzate il 28 Settembre, ma il metodo di attacco, il nome del file webshell generato e gli attacchi successivi alla creazione della webshell sono diversi. Si presume che un altro aggressore abbia usato una 0day diversa."
In effetti i ricercatori spiegano che gli addetti ai lavori sono a conoscenza di almeno altre 3 bug di Exchange non divulgati: sono stati segnalati dalla Zero Day Iniziative tre settimane fa, tracciate con gli identificativi ZDI-CAN-18881, ZDI-CAN-18882 e ZDI-CAN-18932.
Vulnerabilità che, secondo TrendMicro, sono di livello critico. Microsoft ad ora, però, non ha pubblicato informazioni relative a queste tre falle e non ha anora assegnato gli ID CVE per tracciarle.
Nessun commento:
Posta un commento