韩国网络安全公司AhnLab报告说,Lockbit勒索软件的附属公司正在通过被破坏的微软Exchange服务器分发其恶意软件。
据悉,2022年7月,该安全公司的一个客户经营的两台服务器被感染了LockBit 3.0勒索软件。威胁者最初在被破坏的Exchange服务器上部署了Web shell,然后只花了7天时间就将权限升级为活动目录管理员,并在加密网络中托管的系统之前窃取了大约1.3TB的数据。
根据研究人员的说法,攻击者据称利用了微软Exchange服务器的一个零日漏洞。查看微软Exchange服务器的漏洞历史,远程代码执行漏洞是在2021年12月16日披露的(CVE-2022-21969),特权升级漏洞是在2022年2月披露的,而最近的漏洞是在6月27日。信息泄露漏洞的漏洞。 也就是说,在5月之后披露的漏洞中,没有与远程命令或文件创建有关的漏洞报告。因此,考虑到WebShell是在7月21日创建的,预计攻击者使用了一个未公开的零日漏洞。
专家们认为,攻击者很可能没有利用最近披露的CVE-2022-41040和CVE-2022-41082漏洞。
在这份关于LockBit勒索软件的报告中,有很多内容,我不相信这是一个零日(报告中没有证据),但要注意一个问题。
– Kevin Beaumont (@GossiTheDog)
2022年10月11日
漏洞研究者Will Dormann指出,该报告没有包括利用一个新的零日漏洞的证据。
到目前为止,我只粗略浏览了该页面的翻译版本,但有什么证据表明这是一个不同的漏洞?
– Will Dormann (@wdormann)
2022年10月11日
Bleeping Computer指出,由Zero Day Initiative漏洞研究员Piotr Bazydlo发现的微软Exchange中至少有三个漏洞还没有被修补。这三个问题被ZDI追踪为ZDI-CAN-18881、ZDI-CAN-18882和ZDI-CAN-18932,于2022年9月20日报告。
翻译自:Bleeping Computer
领取优惠
提交成功!