Злоумышленники организовали атаки на пользователей Microsoft Exchange. Об этом сообщает издание Bleeping Computer.
Об уязвимостях, объединенных под общим названием ProxyShell, на конференции Black Hat рассказал специалист по безопасности Оранж Цай (Orange Tsai). В настоящий момент эксперты упоминают три разновидности уязвимостей под названиями CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207. Создатели вредоносного ПО сканируют сеть в поисках незащищенных корпоративных систем и внедряют в них модифицированные программы.
Злоумышленники используют веб-оболочку сервиса для загрузки особого ПО в папку с удаленным доступом. Документы создаются в системном разделе Windows по адресу C:\Windows\System32 и в корневом каталоге самой программы Microsoft Exchange, используемой для обмена сообщениями и документами в корпоративной среде. Также создатели вирусного ПО запускают удаленный загрузчик ApplicationUpdate.exe, который открывает исполняемый файл ApplicationUpdate.exe ежедневно в час ночи.
По словам экспертов, им известны не только методы взлома, но и веб-адреса, с помощью которых неизвестные взламывают корпоративные сети клиентов Microsoft. Авторы заметили, что в зоне риска находятся те пользователи, которые не обновляют Microsoft Exchange. В этой связи специалисты советуют регулярно устанавливать обновления от Microsoft на своих компьютерах.
Ранее специалисты по безопасности рассказали о возможности взлома компьютеров через офисное оборудование. Проникновение на компьютеры пользователей удалось осуществить на базе новой версии Windows.