De acordo com a empresa vietnamita de segurança da informação GTSC, os invasores estão usando duas vulnerabilidades anteriormente desconhecidas para atacar os servidores do Microsoft Exchange. As vulnerabilidades descobertas permitem que hackers executem a execução remota de código e foram identificadas pela primeira vez em agosto de 2022.
Fonte da imagem: methodshop / pixabay.com
Essas são duas vulnerabilidades que ainda não receberam identificadores CVE. A Zero Day Initiative os rastreia como ZDI-Can-18333 (criticidade CVSS 8.8) e ZDI-CAN-18802 (criticidade CVSS 6.3). De acordo com o GTSC, a exploração dessas vulnerabilidades permite que os invasores invadam o sistema da vítima e façam mais movimentos na rede interna.
«Descobrimos que os web shells, em sua maioria ofuscados, estão sendo enviados para os servidores Exchange. Usando um agente de usuário personalizado, descobrimos que o invasor estava usando o Antsword, uma ferramenta de gerenciamento de sites de plataforma cruzada chinesa de código aberto que fornece acesso administrativo ao console da web”, disse o GTSC em comunicado.
A empresa acredita que um dos grupos de hackers chineses está por trás dos ataques aos servidores Microsoft Exchange usando as vulnerabilidades mencionadas. Além do código em chinês simplificado, isso é indicado pelo uso do backdoor China Chopper, projetado para dar aos invasores a oportunidade de se reconectar aos sistemas da vítima a qualquer momento. Depois de se infiltrar nos sistemas de TI da vítima, os hackers normalmente injetam DLLs maliciosas na memória, bem como baixam outros malwares usando o utilitário WMI.
Representantes oficiais da Microsoft ainda não comentaram sobre esta questão. Provavelmente, a gigante do software lançará em breve um patch para eliminar as vulnerabilidades descobertas.