Serwery Microsoft Exchange zhakowane przez nowy ransomware

Nowy gang ransomware znany jako LockFile szyfruje domeny Windows na serwerach Microsoft Exchange przy użyciu niedawno ujawnionych luk ProxyShell.

W ostatnich tygodniach zaobserwowano wzmożoną aktywność hakerów w zakresie skanowania serwerów pocztowych Microsoft Exchange. Cyberprzestępcy poszukują luk w zabezpieczeniach, głównie ProxyShell. Według ekspertów Devcore Principal Security Researcher Orange Tsai pod pojęciem ProxyShell kryją się trzy luki występujące w zabezpieczeniach Microsoft Exchange.

- CVE-2021-34473 — obejście ACL (Access Control Lists) spowodowane luką „Pre-auth Path Confusion”;

- - CVE-2021-34523 — podniesienie uprawnień w programie Exchange PowerShell Backend;

- CVE-2021-31207 – po uwierzytelnieniu arbitralny zapis prowadzi do zdalnego wykonania kodu;

Wprawdzie firma Microsoft załatała wszystkie luki w kwietniu oraz maju, jednakże niedawno ujawniono więcej szczegółów technicznych, które umożliwiły badaczom bezpieczeństwa i cyberprzestępcom reprodukcję exploita. Serwis BleepingComputer poinformował w ubiegłym tygodniu o napastnikach skanujących i hakujących serwery Microsoft Exchange przy użyciu luk ProxyShell. Napastnicy za pomocą powłok internetowych instalują backdoora, który pobiera szkodliwy ładunek. Badacz bezpieczeństwa Kevin Beaumont donosi, iż właśnie ten sposób dystrybuowany jest nowy ransomware znany jako LockFile wykorzystujący luki Microsoft Exchange ProxyShell i Windows PetitPotam do przejmowania domen Windows i szyfrowania urządzeń.

LockFile - nowy rodzaj oprogramowania ransomware

Źródło: Marken

24.08.2021

Tagi: serwery Microsoft Exchange, ransomware, atak