可用-安全

LockBit 公司的附属机构破坏了微软的 Exchange 服务器以部署勒索软件

  • 浏览次数 21973
  • 喜欢 0
  • 评分 12345

韩国网络安全公司AhnLab报告说,Lockbit勒索软件的附属公司正在通过被破坏的微软Exchange服务器分发其恶意软件。

据悉,2022年7月,该安全公司的一个客户经营的两台服务器被感染了LockBit 3.0勒索软件。威胁者最初在被破坏的Exchange服务器上部署了Web shell,然后只花了7天时间就将权限升级为活动目录管理员,并在加密网络中托管的系统之前窃取了大约1.3TB的数据。

根据研究人员的说法,攻击者据称利用了微软Exchange服务器的一个零日漏洞。查看微软Exchange服务器的漏洞历史,远程代码执行漏洞是在2021年12月16日披露的(CVE-2022-21969),特权升级漏洞是在2022年2月披露的,而最近的漏洞是在6月27日。信息泄露漏洞的漏洞。  也就是说,在5月之后披露的漏洞中,没有与远程命令或文件创建有关的漏洞报告。因此,考虑到WebShell是在7月21日创建的,预计攻击者使用了一个未公开的零日漏洞。

专家们认为,攻击者很可能没有利用最近披露的CVE-2022-41040和CVE-2022-41082漏洞。

在这份关于LockBit勒索软件的报告中,有很多内容,我不相信这是一个零日(报告中没有证据),但要注意一个问题。

– Kevin Beaumont (@GossiTheDog)

2022年10月11日

漏洞研究者Will Dormann指出,该报告没有包括利用一个新的零日漏洞的证据。

到目前为止,我只粗略浏览了该页面的翻译版本,但有什么证据表明这是一个不同的漏洞?

– Will Dormann (@wdormann)

2022年10月11日

Bleeping Computer指出,由Zero Day Initiative漏洞研究员Piotr Bazydlo发现的微软Exchange中至少有三个漏洞还没有被修补。这三个问题被ZDI追踪为ZDI-CAN-18881、ZDI-CAN-18882和ZDI-CAN-18932,于2022年9月20日报告。


转自 E安全,原文链接:https://mp.weixin.qq.com/s/eXa5J_TZeTO41ynS9oA9ig

封面来源于网络,如有侵权请联系删除