Según la compañía vietnamita de seguridad de la información GTSC, los atacantes utilizan dos vulnerabilidades previamente desconocidas para atacar los servidores de Microsoft Exchange.
Las vulnerabilidades descubiertas permiten a los hackers ejecutar código remoto y se identificaron por primera vez en agosto de 2022.
Se trata de dos vulnerabilidades a las que aún no se les han asignado identificadores CVE. La Zero Day Initiative los sigue como ZDI-Can-18333 (CVSS Criticality 8.8) y ZDI-CAN-18802 (CVSS Criticality 6.3).
Al hacker promedio le toma menos de 10 horas encontrar vulnerabilidades
Según GTSC, explotar estas vulnerabilidades permite a los atacantes infiltrarse en el sistema de la víctima y realizar más movimientos en la red interna.
La compañía cree que uno de los grupos de hackers chinos está detrás de los ataques a los servidores de Microsoft Exchange que explotan las vulnerabilidades mencionadas.
Además del código chino simplificado, esto se indica mediante el uso de la puerta trasera China Chopper que está diseñada para permitir a los atacantes volver a conectarse a los sistemas de la víctima en cualquier momento.
Después de infiltrarse en los sistemas de TI de la víctima, los piratas informáticos generalmente inyectan DLL maliciosas en la RAM y usan la utilidad WMI para descargar otro malware.
Los funcionarios de Microsoft aún no han comentado nada sobre este tema, el gigante del software, es probable que pronto lance un parche para eliminar las vulnerabilidades descubiertas.