Cibercriminosos estão se passando por pesquisadores de segurança para vender explorações falsas de prova de conceito do ProxyNotShell para vulnerabilidades de zero zero recém-descobertas do Microsoft Exchange.
A empresa vietnamita de segurança cibernética GTSC divulgou, na semana passada, que alguns de seus clientes foram atacados usando duas novas vulnerabilidades de zero dia no Microsoft Exchange. Trabalhando com a Zero Day Initiative da Trend Micro, os pesquisadores divulgaram as vulnerabilidades em particular para a Microsoft, que confirmou que os bugs estavam sendo explorados em ataques e que estavam trabalhando em um cronograma acelerado para lançar atualizações de segurança.
Microsoft confirma exploração das vulnerabilidades de zero dia
A Microsoft compartilhou uma análise que dizia: “A Microsoft observou esses ataques em menos de 10 organizações em todo o mundo. A MSTIC avalia com confiança média que o único grupo de atividade provavelmente será uma organização patrocinada pelo estado”.
Os pesquisadores de segurança estão mantendo os detalhes técnicos das vulnerabilidades em sigilo, e parece que apenas um pequeno número de agentes de ameaças os está explorando. Devido a isso, outros pesquisadores e agentes de ameaças aguardam a primeira divulgação pública das vulnerabilidades para usar em suas próprias atividades, seja defendendo uma rede ou invadindo uma.
Cibercriminosos vendem explorações falsas do Microsoft Exchange
Um golpista começou a criar repositórios do GitHub onde eles tentam vender explorações falsas de prova de conceito para as vulnerabilidades do Exchange CVE-2022-41040 e CVE-2022-41082.
Notícias Relacionadas
Segurança Ubuntu
Ubuntu corrige vulnerabilidades de memória no Vim: atualize agora
Duas vulnerabilidades foram encontradas no Vim, afetando várias versões do Ubuntu. Para proteger seu sistema, atualize para a versão mais recente e evite riscos de execução de código ou negação de serviço.
Alerta urgente
Alerta urgente: CISA recomenda correção de vulnerabilidades até setembro
A CISA emitiu um alerta sobre três vulnerabilidades críticas em softwares populares, como ImageMagick e SonicWall SonicOS. As empresas devem corrigir essas falhas até o final de setembro para evitar ataques cibernéticos.
John Hammond, do Huntress Lab (Via: Bleeping Computer), tem seguido esses golpistas, encontrando cinco contas agora removidas tentando vender as façanhas falsas. Essas contas estavam sob os nomes ‘jml4da’, ‘TimWallbey’, ‘Liu Zhao Khin (0daylabin)’, ‘R007er’ e ‘spher0x’, aponta o site.
Além disso, outra conta fraudulenta encontrada por Paulo Pacheco personificou Kevin Beaumont (também conhecido como GossTheDog), um conhecido pesquisador/profissional de segurança que tem documentado as novas vulnerabilidades do Exchange e as mitigações disponíveis.
De acordo com o Bleeping Computer, os repositórios em si não contêm nada de importante, mas o README.md descreve o que se sabe atualmente sobre as novas vulnerabilidades, seguido de um argumento sobre como eles estão vendendo uma cópia de uma exploração PoC para os dias zero.
Os arquivos README contêm um link para uma página do SatoshiDisk onde o golpista está tentando vender o exploit falso por 0,01825265 Bitcoin, no valor de aproximadamente US$ 420,00 (aprox. R$ 2.161,00). Essas vulnerabilidades valem muito mais de US$ 400, com a Zerodium oferecendo pelo menos US$ 250.000 para a execução remota de código do Microsoft Exchange zero dias.
Não é preciso dizer que isso é apenas uma farsa, e o envio de qualquer bitcoin provavelmente não resultará no recebimento de nada.
