Af Eskil Sørensen, 30/09/22
Researchere ved et vietnamesisk sikkerhedsfirma oplyser, at trusselsaktører er i gang med at udnytte endnu ikke afslørede Microsoft Exchange 0-dagsfejl til fjernafvikling af kode.
Det skriver Bleeping Computer med henvisning til en blogpost fra virksomheden GTSC.
Angiveligt skulle trusselsaktørerne kæde de 0-dage sammen med henblik på at implementere webshells med navnet Chinese Chopper på kompromitterede servere for bl.a. at få adgang til fortrolige oplysninger og gennemføre ’lateral movement’ til andre systemer på ofrenes netværk. Meldingen er, at sårbarheden muliggør remote code execution på kompromitterede systemer.
GTSC mistænker en kinesisk trusselsgruppe for at være ansvarlig for angrebene eftersom den brugeragent, der har været brugt til at installere web-shells, tilhører et kinesisk-baseret open source-webstedsadministrationsværktøj.
Researcherne har efter det oplyste rapporteret sårbarhederne til Microsoft for tre uger siden gennem Zero Day Initiative, som har givet dem id-numrene ZDI-CAN-18333 og ZDI-CAN-18802. ZDI har scoret fejlene til hhv. 8,8 og 6,3 på CVSS-skalaen.
Bleeping Computer skriver, at Microsoft indtil videre ikke har afsløret nogen oplysninger om de to sårbarheder og heller ikke har tildelt dem et CVE-nummer. Der forefindes derfor heller ikke opdateringer til håndtering af fejlene, men GTSC foreslår mitigering ved tilføjelse af en IIS-serverregel. Endvidere er foreslås der afvikling af en PowerShell-kommando mhp. at scanne IIS-logfiler for indicators of compromise.
Mere information om metoden til mitigering fremgår af Bleeping Computers artikel og blogposten fra GTSC.