Ciberatacantes apuntan a vulnerabilidades zero day en Microsoft Exchange

Actores maliciosos están explotando dos nuevos errores de día cero en Microsoft Exchange. Hace tres semanas, investigadores informaron de las fallas de seguridad a Microsoft de forma privada a través de Zero Day Initiative. Los investigadores de GTSC han detectado una serie de ataques que se aprovechan de un día cero para la ejecución remota […]

Actores maliciosos están explotando dos nuevos errores de día cero en Microsoft Exchange. Hace tres semanas, investigadores informaron de las fallas de seguridad a Microsoft de forma privada a través de Zero Day Initiative.

Los investigadores de GTSC han detectado una serie de ataques que se aprovechan de un día cero para la ejecución remota de código. Dos de estos defectos se rastrean como CVE-2022-41040 y CVE-2022-41082.

Los atacantes han encadenado las fallas de día cero para colocar shells web de China Chopper en servidores infectados para persistencia, robo de datos y movimiento lateral a otros sistemas en las redes.

Los investigadores afirmaron que un grupo de amenazas chino está detrás de estos ataques recientes, según la página de códigos de los shells web que utiliza una codificación de caracteres de Microsoft para chino simplificado.

Además, un agente de usuario empleado para instalar los shells web pertenece a una herramienta de administración de sitios web de código abierto con sede en China con soporte para la gestión de shells web, identificada como Antsword.

Zero Day Initiative está rastreando los errores como ZDI-CAN-18802 y ZDI-CAN-18333.

¿Cómo se explotan los defectos?

GTSC publicó solo algunos detalles relacionados con las fallas de día cero, ya que aún no hay un parche disponible. Los investigadores revelaron que las solicitudes utilizadas en la cadena de explotación son similares a las utilizadas en los ataques dirigidos a las fallas de ProxyShell.

El exploit funciona en dos etapas, donde la primera etapa solicita un formato similar a la falla de ProxyShell. El segundo es el uso del enlace anterior para acceder a un componente en el backend para implementar RCE.