Компания Microsoft подтвердила, что две неисправленные уязвимости Exchange Server нулевого дня используются для реальных атак киберпреступниками, сообщает портал TechCrunch.

Вьетнамская компания по кибербезопасности GTSC, которая впервые обнаружила изъяны в системе в августе 2022 года, заявила, что две уязвимости нулевого дня использовались в атаках на среды их клиентов.

Вечером четверга представители центра реагирования на безопасность Microsoft сообщили о том, что две уязвимости были идентифицированы как CVE-2022-41040 (уязвимость подделки запросов со стороны сервера) и CVE-2022-41082 (позволяет выполнять удаленный код на уязвимом сервере, когда PowerShell доступен злоумышленнику).

В компании Microsoft отметили, что злоумышленнику потребуется аутентифицированный доступ к Exchange Server для успешного использования любой из двух уязвимостей, которые влияют на локальные серверы Microsoft Exchange Server 2013, 2016 и 2019.

Компания Trend Micro, занимающаяся безопасностью, присвоила двум уязвимостям рейтинг серьезности 8,8 и 6,3 из 10. Однако GTSC сообщает, что киберпреступники объединили их в цепочку, чтобы создать бэкдоры в системе жертвы, а также перемещаться по скомпрометированной сети. В GTSC подозревают о том, что за продолжающиеся атаки может быть ответственна китайская группировка, поскольку кодовая страница веб-шелла использует кодировку символов для упрощенного китайского языка. Злоумышленники также задействовали веб-оболочку China Chopper в атаках для постоянного удаленного доступа, который является бэкдором, обычно используемым хакерскими группами, спонсируемыми Китаем.

Microsoft отказалась сообщить, когда исправления станут доступны, но отметила в своем блоге, что предстоящее исправление находится в «ускоренном графике». Компания отметила, что клиентам Exchange Online в данный момент не нужно предпринимать никаких действий, поскольку нулевые дни влияют только на локальные серверы Exchange.