Per Microsoft sembra non esserci pace. Dopo la recente scoperta di due vulnerabilità gravi di Exchange, si torna a parlare di attacchi ransomware perpetrati a seguito della violazione dei server del servizio Microsoft.
Sembra che in almeno un'occasione, sia stato sfruttato un server Exchange compromesso per un attacco tramite LockBit. A luglio 2022 è stato segnalato l'uso di una web shell per ottenere i privilegi di amministrazione di Active Domain, con il conseguente furto di 1,3 TB dati, nonché la crittografia degli interi sistemi in rete.
Microsoft si è già attivata e sta valutando le varie segnalazioni, che punterebbero a una nuova vulnerabilità di tipo zero-day, ovvero non ancora scoperta né sottoposta a patch.
AhnLab, azienda coreana specializzata in sicurezza informatica, sta collaborando alle indagini tramite alcuni esperti di analisi forense.
Da quanto emerso finora, sembra che i responsabili dell'attacco abbiano impiegato una sola settimana per violare l'account di amministrazione di AD, dopo l'implementazione della web shell malevola.
In base al metodo di attacco, al nome file della WebShell e le azioni ostili successive, sembra che non ci siano punti in comune con le precedenti vulnerabilità CVE-2022-41040 e CVE-2022-41082 di cui vi parlavamo nell'articolo indicato qui sopra.
Dunque, si sospetta l'esistenza di un'ulteriore vulnerabilità sfruttata da altri soggetti, sebbene l'ipotesi che si tratti della stessa campagna di attacco precedente resti nel campo delle possibilità, d'altronde le differenze nei metodi di attacco da sole non costituiscono una prova sufficiente a dimostrare l'effettiva esistenza di una nuova vulnerabilità non ancora gestita.
In ogni caso, Microsoft non ha rilasciato ulteriori informazioni e, a oggi, non sono stati registrati nuovi ID CVE.