На этой неделе вьетнамская компания по безопасности GTSC опубликовала сообщение в блоге, предупреждающее о новой уязвимости нулевого дня удаленного выполнения кода (RCE) в Microsoft Exchange Server, которая, по ее словам, активно эксплуатируется по крайней мере с начала августа.
GTSC представила уязвимость в рамках инициативы Zero Day Initiative, которая 8 и 9 сентября подтвердила две уязвимости:
Поскольку GTSC продолжает видеть, что клиенты становятся мишенью для атак, использующих эти уязвимости, компания заявила, что опубликовала сообщение в блоге, предлагающее дополнительную информацию об уязвимостях.
«Мы обнаружили, что
«Следует отметить, что каждая команда заканчивается строкой echo [S]&cd&echo [E], которая является одной из сигнатур китайского чоппера», — написали они. «Кроме того, хакер также внедряет в память вредоносные DLL, сбрасывает подозрительные файлы на атакуемые серверы и запускает эти файлы через WMIC».
Microsoft предлагает руководство по уязвимостям
Через день после того, как GTSC опубликовала свое сообщение в блоге, Microsoft выпустила руководство для клиентов по устранению уязвимостей, которые затрагивают Microsoft Exchange Server 2013, 2016 и 2019 и идентифицируются как уязвимость подделки запросов на стороне сервера (SSRF)
Хотя клиентам Microsoft Exchange Online не нужно предпринимать никаких действий, пользователям локальной версии Microsoft Exchange рекомендуется выполнить следующие действия:
- Откройте диспетчер IIS
- Разверните
веб-сайт по умолчанию - В представлении функций нажмите «Переписать URL».
- На панели «Действия» справа нажмите «Добавить правила».
- Выберите «Блокировка запроса» и нажмите «ОК».
- Добавьте строку «. *autodiscover\.json. *\@. *Powershell. * «(исключая кавычки) и нажмите «ОК».
- Разверните правило и выберите правило с шаблоном «. *autodiscover\.json. *\@. *Powershell. * «и нажмите «Изменить» в разделе «Условия».
- Измените ввод условия с {URL} на {REQUEST_URI}.
«Нет никаких известных последствий для функциональности Exchange, если модуль перезаписи
Стеганография скрывает вредоносное ПО в логотипе Microsoft
Отдельно Symantec объявила, что атакующая группа Witchetty, также известная как LookingFrog, использует новый
Backdoor.Stegmap может создавать и удалять каталоги; копирование, перемещение и удаление файлов; загрузка и запуск исполняемых файлов; чтение, создание и удаление разделов реестра, среди прочих действий.
«В ходе атак в период с февраля по сентябрь 2022 года Witchetty нацелилась на правительства двух ближневосточных стран и фондовую биржу африканской страны», — пишет Symantec. «Злоумышленники использовали уязвимости ProxyShell (
В отчете Symantec подробно описывается февральская атака на правительственное учреждение на Ближнем Востоке, которая продолжалась в течение нескольких месяцев.
ESET впервые сообщила о Witchetty/LookingFrog в апреле 2022 года, определив ее как одну из трех подгрупп зонтичной группы кибершпионажа TA410, которая сама слабо связана с APT10/Cicada.