駭客運用新零時差漏洞，入侵微軟 Exchange Server發動 LockBit 勒索軟體攻擊

早在 2022 年 7 月的一起攻擊事件中，惡意攻擊者透過先前部署在被入侵 Exchange Server上的 Web Shell，成功升級取得 AD 目錄服務的管理者權限，隨後不但竊取大約 1.3TB 的資料，並透過加密的方式對網路系統發動 LockBit 勒索軟體攻擊。對於這個新的零時差漏洞攻擊事件，微軟正在著手調查。

針對這起攻擊件，南韓網路安全公司 AhnLab 在聘請鑑識分析專家協助調查後表示，從 Web Shell 被上傳起，威脅發動者僅用一週的時間就劫持了 AD 管理帳號。該公司進一步分析指出，這次駭客很可能透過一個「未揭露的零時差漏洞」入侵 Exchange Server，因為受害者早在 2021 年 12 月先前的一起入侵攻擊之後，就已獲得微軟的技術支援而部署了季度安全更新修補程式。

由於在今年 5 月之後揭露的漏洞中，並沒有與遠端命令或檔案建立相關的漏洞通報，再加上 WebShell 是在 7 月 21 日建立的，所以由此可以推斷攻擊者使用了一個未被揭露的零時差漏洞。

雖然微軟目前正在開發安全修補程式，以解決兩個以 CVE-2022-41040 與 CVE-2022-41082 編號加以追蹤的微軟 Exchange 零時差漏洞。但 AhnLab 補充說，這與 7 月被用來獲取 Exchange 伺服器存取權限的安全漏洞可能不同，因為攻擊策略並不相同，由此推論，應該是不同攻擊者使用了不同的零時差漏洞。

除此之外，安全方案供應商趨勢科技掌握了其他三個未揭露 Exchange 漏洞，並提供「疫苗」來封鎖可能的攻擊企圖。這三個漏洞是由趨勢科技零時差計畫（Zero Day Initiative，ZDI）漏洞研究人員 Piotr Bazydlo 發現並在三週前通報微軟，趨勢科技在其分析人員驗證該問題後，分別以 ZDI-CAN-18881、ZDI-CAN-18882 及 ZDI-CAN-18932 三個漏洞編號來加以追蹤。

該公司自 2022 年 10 月 4 日起，已將偵測三個 Exchange 零時差漏洞的特徵碼新增至旗下 IPS N-Platform、NX-Platform 或 TPS 產品上。但自從這三個安全漏洞被通報以來，微軟並未揭露任何相關資訊，也未指定 CVE 編號來進行追蹤。