Microsoft расследует сообщения о новой ошибке нулевого дня, используемой для взлома серверов Exchange, которые позже использовались для запуска атак программ-вымогателей Lockbit.
По крайней мере, в одном таком инциденте, произошедшем в июле 2022 года, злоумышленники использовали ранее развернутую веб-оболочку на скомпрометированном сервере Exchange для повышения привилегий до администратора Active Directory, кражи примерно 1,3 ТБ данных и шифрования сетевых систем.
Как сообщила южнокорейская компания по кибербезопасности AhnLab, чьи эксперты по криминалистическому анализу были наняты для помощи в расследовании, злоумышленникам потребовалась всего неделя, чтобы захватить учетную запись администратора AD, с которой была загружена веб-оболочка.
AhnLab говорит, что серверы Exchange, вероятно, были взломаны с использованием «нераскрытой уязвимости нулевого дня», учитывая, что жертва получала техническую поддержку от Microsoft для развертывания ежеквартальных исправлений безопасности после предыдущей компрометации в декабре 2021 года.
«Среди уязвимостей, раскрытых после мая, не было сообщений об уязвимостях, связанных с удаленными командами или созданием файлов», — пояснила AhnLab.
«Поэтому, учитывая, что WebShell был создан 21 июля, ожидается, что злоумышленник использовал нераскрытую уязвимость нулевого дня».
Как заявил ранее сегодня представитель Microsoft, компания «расследует утверждения, содержащиеся в этом отчете, и предпримет любые действия, необходимые для защиты клиентов».
