Grupa CrowdStrike odkryła lukę w Microsoft Exchange, dzięki której hakerzy mogą dostać się do sieci ofiar. Firma z Redmond oznaczyła ten błąd jako krytyczny.
Niedawno Microsoft poinformował o odkryciu podatności na ataki w systemach operacyjnych firmy Apple. Jak już wcześniej mówiłem – nie ma oprogramowania, którego nie da się złamać. Idealnym potwierdzeniem są najnowsze doniesienia, które mówią o tym, że grupa hakerska Play wykorzystała pewną lukę usługi Microsoft Exchange, aby dostać się do sieci ofiar. Przyszedł więc czas, aby tym razem wypunktować niedopatrzenia przedsiębiorstwa z Redmond.
Podatność została wykryta przez CrowdStrike. Serwis BleepingComputer przekazuje, że do wykonania dowolnych komend na zaatakowanych serwerach wykorzystano Remote PowerShell. Okazuje się, że odpowiednie żądania wykonywano bezpośrednio przez punkt końcowy Outlook Web Application (OWA).
Microsoft oznaczył ten błąd jako krytyczny i nadał mu oznaczenie CVE-2022-41082. Pozwala on na zdalne wykonywanie uprawnień na serwerach Exchange.
Witryna BleepingComputer donosi, że badacz zagrożeń Dray Agha znalazł i udostępnił w internecie narzędzie wykorzystywane przy działaniach hakerów. Dzięki temu CrowdStrike był w stanie przygotować „replikę złośliwej aktywności zarejestrowanej w atakach ransomware grupy Play”.
Przed ewentualnymi atakami najlepiej bronić się poprzez wykonanie aktualizacji Microsoft Exchange, lub całkowite wyłączenie OWA podczas oczekiwania na załatanie CVE-2022-41080.
Na wspomnianym wcześniej serwisie czytamy, że „aktywność ransomware grupy Play rozpoczęła się w czerwcu 2022 roku, kiedy pierwsze ofiary zaczęły prosić o pomoc”. Nie wiadomo jednak, czy dotychczasowe ataki pozwoliły hakerom wejść w posiadanie wrażliwych danych. Jeśli tak jest, to zapewne dowiemy się o tym w bliżej nieokreślonej przyszłości.
Niektóre odnośniki na stronie to linki reklamowe.