I ricercatori di GTSC hanno scoperto due vulnerabilità zero-day in Microsoft Exchange, ma non hanno pubblicato i dettagli tecnici perché non è ancora disponibile la patch. Qualcuno ha approfittato dell’occasione per mettere in atto una truffa, vendendo falsi exploit su GitHub. Intanto sembra che la soluzione temporanea proposta da Microsoft non sia molto efficace.
Exploit fasulli su GitHub
Microsoft ha pubblicato un articolo per descrivere la catena di infezione, sottolineando che gli attacchi sono stati effettuati contro un numero molto limitato di aziende (meno di 10 nel mondo). I cybercriminali attendono con impazienza i dettagli tecnici per sfruttare le vulnerabilità. Diversi truffatori hanno approfittato dell’occasione, creando repository su GitHub per vendere exploit fasulli. Alcuni ricercatori hanno segnalato i corrispondenti account, successivamente rimossi dal servizio di hosting.
I repository non contengono nulla di importante. In un file README è scritto che esiste solo una copia dell’exploit. Chi fosse interessato deve pagare 0,01825265 Bitcoin (circa 360 dollari al cambio attuale). La richiesta è comunque bassa, visto che una vulnerabilità RCE (esecuzione di codice remoto) di Microsoft Exchange viene pagata fino a 250.000 dollari.
Microsoft ha suggerito una soluzione temporanea per limitare i rischi, ovvero l’aggiunta di una regola di blocco in IIS Manager. Alcuni ricercatori hanno scoperto che non offre una protezione sufficiente. L’azienda di Redmond ha successivamente consigliato di disattivare l’accesso PowerShell remoto per gli utenti non amministratori, seguendo questa guida.
Aggiornamento (05/10/2022): Microsoft ha aggiornato la soluzione temporanea, in seguito alle segnalazioni dei ricercatori.
Ti potrebbe interessare
4 ott 2022