Исправлений нет, но вы держитесь: киберпреступники активно используют опасные 0-day уязвимости в Microsoft Exchange

Бреши в защите Microsoft Exchange обнаружила вьетнамская компания GTSC еще в августе 2022 года. Двум обнаруженным уязвимостям еще не присвоены идентификаторы CVE, поэтому они отслеживаются как ZDI-CAN-18333 (имеет оценку 8.8 по шкале CVSS) и ZDI-CAN-18802 (имеет оценку 6.3 по шкале CVSS).

Исследователи GTSC заявили, что успешная эксплуатация уязвимостей позволяет хакерам взломать систему жертвы, установить веб-оболочку и осуществить боковое перемещение по скомпрометированной сети.

По словам специалистов, злоумышленники сбрасывают обфусцированные веб-оболочки на серверы Exchange и используют китайский кросс-платформенный инструмент Antsword с открытым исходным кодом, открывающий административный доступ к веб-шеллу.

На то, что за атаками может стоять китайская группировка, указывают несколько зацепок:

1. Веб-оболочка использует метод кодирования, поддерживающий упрощенный китайский язык;

2. В ходе атак используется бэкдор China Chopper, позволяющий установить постоянный удаленный доступ к сети жертвы. Ранее этот бэкдор использовался китайскими государственными хакерами из группировки Hafnium.

После эксплуатации бэкдора злоумышленники внедряют вредоносные DLL в память и выгружают дополнительные полезные нагрузки на зараженные серверы с помощью утилиты WMIC.

По словам представителей GTSC, уже несколько организаций стали жертвами атак с использованием новых 0-day уязвимостей. До выпуска исправлений компания отказалась разглашать какие-либо технические подробности брешей в защите.