האקרים שלוחי סין ניצלו חולשה באקסצ'יינג' ותקפו ארגונים
"ההאקרים התקינו Chopper web shell כדי להקל על גישה למקלדת הקורבנות, ניצלו את החולשה לקבלת גישה ל-Active Directory וחילצו נתונים ממחשבי הארגונים", מסרה מיקרוסופט ● לפחות 10 ארגונים נפלו קורבן למתקפה
האקרים בחסות מדינתית השיגו גישה ראשונית ופרצו לשרתי אקסצ'יינג' באוגוסט השנה – כך מסרה מיקרוסופט בהודעה שפרסמה בסוף השבוע.
לפי חוקרי האיומים של הענקית מרדמונד, על ידי ניצול החולשות החדשות, שהן מסוג יום אפס, ההאקרים תקפו לפחות 10 ארגונים ברחבי העולם. הם לא ציינו בדו"ח שלהם את זהות המדינה שממנה פעלו ההאקרים, אולם מומחי אבטחה העריכו כי מדובר בקבוצה שפועלת בחסות הממשל הסיני.
בהודעה נכתב כי "ההאקרים התקינו Chopper web shell כדי להקל על גישה למקלדת הקורבנות, וכך הם ניצלו את החולשה על מנת לקבל גישה ל-Active Directory. או אז, הם חילצו נתונים ממחשבי הארגונים".
זהירות: המתקפות האלה צפויות להתגבר
החוקרים הזהירו שבימים הקרובים צפויות מתקפות המנצלות את החולשות הללו להתגבר, "שכן שחקני איום זדוניים מצרפים את יכולות הניצול של החולשות ל-'ארגז כלי הפריצה' שלהם, כולל פריסת כופרות. זאת, מאחר שהחולשות מעניקות להם גישה קלה יותר למחשבי הקורבנות".
שתי הפגיעויות, CVE-2022-41040 ו-CVE-2022-41082, כונו – יחדיו – ProxyNotShell, בשל הדמיון הטכנולוגי ביניהן, לרבות יכולת ההשתלטות מרחוק על מחשבי הקורבן לאחר הזרקת נוזקה מרחוק גם כן. שתיהן קיבלו ציוני חומרה גבוהים – 8.8 במדד CVSS. "בעוד שפגיעויות אלה דורשות אימות, הרי שבמקרה זה, האימות הדרוש לשם ניצול שלהן יכול להיות של משתמש רגיל", ציינו חוקרי מיקרוסופט. "כך, ניתן לרכוש אישורי משתמש סטנדרטיים באמצעות התקפות רבות ושונות, או רכישה בפלטפורמות מכירה של פושעי הסייבר (הכוונה היא לדארקנט – י"ה)".
הפגיעויות התגלו בראשונה על ידי חברת אבטחת הסייבר הווייטנאמית GTSC, כחלק ממאמצי התגובה שלה לאירועים עבור לקוח שלה, שזהותו לא נחשפה. לקוח זה חווה מתקפה באוגוסט האחרון.
הסוכנות האמריקנית לאבטחת סייבר ותשתיות, CISA, הוסיפה את שתי נקודות התורפה ל-KEV, קטלוג הפגיעויות הידועות, ודרשה מהסוכנויות הפדרליות להטליא את התיקונים עד 21 באוקטובר השנה. מיקרוסופט, מצידה, הודיעה כי היא עובדת "באופן מואץ" כדי לשחרר תיקון לחולשות. היא גם פרסמה סקריפט לטובת "שבירה של שרשראות ההתקפה הנוכחיות".
מומחים ציינו שתוכנת Microsoft Exchange מהווה יעד אטקרטיבי לניצול על ידי שחקני איום, משתי סיבות: האחת – היות המערכת מחוברת ישירות לאינטרנט, מה שיוצר משטח תקיפה הנגיש מכל מקום בעולם, ושמגביר באופן דרסטי את הסיכון שלו להיות מותקף; והשנייה – כי ארגונים לא יכולים פשוט לכבות את מערכות המייל שלהם בלי שהדבר ישפיע לרעה על העסק שלהם.
תגובות
(0)