Det vietnamesiske IT-sikkerhetsselskapet GTSC oppdaget tidlig i august at en kundes Microsoft Exchange Server var blitt angrepet.
Serveren var oppdatert med de nyeste sikkerhetsoppdateringene, så GTSC kunne under etterforskningen konkludere med at det var blitt utnyttet et par til nå ukjente sårbarheter i programvaren.
Bakdører og utvidet tilgang
Sårbarhetene åpner til sammen for fjernkjøring av vilkårlig kode. Potensielt kan dette gi en angriper betydelig tilganger på serveren. I angrep som GTSC har observert, har angriperne greid å installere bakdører på serveren og også beveget seg sideveis til andre servere i systemet.
GTCS skal ha fått bekreftet sårbarhetene hos Zero Day Initiative (ZDI-CAN-18333 og ZDI-CAN-18802) og varslet Microsoft om dem.
I ettertid har GTSC oppdaget at også andre kunder var angrepet via samme sårbarheter. Utnyttelse av sårbarhetene kan observeres i logger med et format som er det samme som har blitt knyttet til den tidligere ProxyShell-sårbarheten.
Hvem som står bak angrepene, er uklart, men GTSC peker på noen små spor som peker i kinesisk retning. De kan selvfølgelig være plantet av angriperne for å villede.
I rapporten foreslår GTSC et tiltak som kan bidra til å forhindre at angrepsforsøkene lykkes. Det handler om å blokkere spørringer som er rettet mot temmelig spesifikke URL-er.
Microsoft har bekreftet at selskapet har mottatt informasjon om sårbarhetene og har satt i gang etterforskning av dem.
Kl. 15.44: Saken er oppdatert med lenke til informasjon fra Microsoft.
NSM om nulldagssårbarheter: – Svindyre
