Af Eskil Sørensen, 07/10/22
Det er ikke nemt at være hverken til den en eller anden side på det mørke eller ikke-mørke net.
Mens cyberkriminelle forsøger at omgå de mitigeringsforanstaltninger, som Microsoft har anbefalet til afbødning af risikoen for udnyttelse af de nyligt opdagede og udnyttede 0-dagssårbarheder i Microsoft Exchange server, slår svindlere sig op på at sælge falske proof-of-concept ProxyNotShell-udnyttelser om selvsamme sårbarheder.
Det skriver Bleeping Computer, hvis grundige journalist Lawrence Abrams har været på det mørke net og kigget nærmere på det, der trender pt.
Udnyttelser af Exchange-sårbarheder er i høj kurs på grund af den store udbredelse af Exchange, men aktuelt er der tilsyneladende kun få trusselsaktører, der udnytter de aktuelle ProxyNetShell-sårbarheder, bl.a. fordi de tekniske detaljer om sårbarhederne bliver holdt hemmeligt.
Det slår svindlere ifølge Bleeping Computer plat på og forsøger at drage fordel af, før en udnyttelsesstorm slår igennem. Det sker i GitHub-depoter, hvor svindlerne har sat det, som så er falske proof-of-concept-udnyttelser, til salg. Af depoterne fremgår det bl.a. hvad der i øjeblikket er kendt om de nye sårbarheder, efterfulgt af et salgs-pitch.
POC-udnyttelserne sælges angiveligt til 400 dollar i bitcoins, men som Bleeping Computer tørt konstaterer, er indsigt i sårbarhederne langt mere værd end 400 dollar. Det nævnes fx, at Zerodium tilbyder mindst 250.000 dollar i bug bounty for 0-dagsudnyttelser af Microsoft Exchange med fjernafvikling af kode. Zerodium markedsfører sig som værende verdens førende platform til erhvervelse af 0-dage for researchere.
Så rådet om at vurdere, om et tilbud er for godt til at være sandt, gælder også på det mørke net.