LockBit 公司的附属机构破坏了微软的 Exchange 服务器以部署勒索软件

韩国网络安全公司AhnLab报告说，Lockbit勒索软件的附属公司正在通过被破坏的微软Exchange服务器分发其恶意软件。

据悉，2022年7月，该安全公司的一个客户经营的两台服务器被感染了LockBit 3.0勒索软件。威胁者最初在被破坏的Exchange服务器上部署了Web shell，然后只花了7天时间就将权限升级为活动目录管理员，并在加密网络中托管的系统之前窃取了大约1.3TB的数据。

根据研究人员的说法，攻击者据称利用了微软Exchange服务器的一个零日漏洞。查看微软Exchange服务器的漏洞历史，远程代码执行漏洞是在2021年12月16日披露的（CVE-2022-21969），特权升级漏洞是在2022年2月披露的，而最近的漏洞是在6月27日。信息泄露漏洞的漏洞。  也就是说，在5月之后披露的漏洞中，没有与远程命令或文件创建有关的漏洞报告。因此，考虑到WebShell是在7月21日创建的，预计攻击者使用了一个未公开的零日漏洞。

专家们认为，攻击者很可能没有利用最近披露的CVE-2022-41040和CVE-2022-41082漏洞。

在这份关于LockBit勒索软件的报告中，有很多内容，我不相信这是一个零日（报告中没有证据），但要注意一个问题。

– Kevin Beaumont (@GossiTheDog)

2022年10月11日

漏洞研究者Will Dormann指出，该报告没有包括利用一个新的零日漏洞的证据。

到目前为止，我只粗略浏览了该页面的翻译版本，但有什么证据表明这是一个不同的漏洞？

– Will Dormann (@wdormann)

2022年10月11日

Bleeping Computer指出，由Zero Day Initiative漏洞研究员Piotr Bazydlo发现的微软Exchange中至少有三个漏洞还没有被修补。这三个问题被ZDI追踪为ZDI-CAN-18881、ZDI-CAN-18882和ZDI-CAN-18932，于2022年9月20日报告。

转自 E安全，原文链接：https://mp.weixin.qq.com/s/eXa5J_TZeTO41ynS9oA9ig

封面来源于网络，如有侵权请联系删除