Microsoft bevestigt dat cybercriminelen twee zero-day kwetsbaarheden misbruiken voor aanvallen op Microsoft Exchange Server 2013, 2016 en 2019.
De kwetsbaarheden stellen cybercriminelen in staat om remote code execution-aanvallen uit te voeren. De bugs werden ontdekt door GTSC. Het securitybedrijf publiceerde een handleiding voor preventie. De handleiding wordt door Microsoft erkend. De techgigant registreerde de kwetsbaarheden als CVE-2022-41040 en CVE-2022-41082.
Microsoft Exchange zero-day
Volgens Microsoft werden de kwetsbaarheden onlangs misbruikt voor “beperkte, gerichte aanvallen” op Microsoft Exchange servers. Securitybedrijf GTSC onthulde de kwetsbaarheden in een openbaar rapport. Technische details zijn schaars, want de onderzoekers willen voorkomen dat cybercriminelen de informatie misbruiken om aanvallen uitvoeren.
De daders van de ontdekte aanvallen gebruikte de kwetsbaarheden om kwaadaardige webshells op gehackte servers uit te rollen. De webshells maakten het mogelijk om toegang te behouden, data te stelen en andere delen van het netwerk te infilitreren.
“De kwetsbaarheid blijkt zo kritiek te zijn dat de aanvallers op afstand code kunnen uitvoeren”, aldus de onderzoekers. GTSC vermoedt dat de aanvallen door een Chinese hackgroep werden uitgevoerd.
Zero Day Initiative
GTSC informeerde Microsoft drie weken terug over de kwetsbaarheiden via het Zero Day Initiative, een bug bounty-programma. “We hebben de kwetsbaarheden meteen ingediend bij het Zero Day Initiative (ZDI) zodat er zo snel mogelijk een patch kon worden voorbereid”, vertelden de onderzoekers. “ZDI heeft twee bugs geverifieerd met CVSS-scores van 8,8 en 6,3.”
GTSC deelde geen tot weinig technische details over de kwetsbaarheden. Wel onthulden de onderzoekers dat het aanvalsproces vergelijkbaar is met het misbruik van ProxyShell-kwetsbaarheden.