Home Sociedad Falsos exploits de Microsoft Exchange ProxyNotShell, a la venta en GitHub

Falsos exploits de Microsoft Exchange ProxyNotShell, a la venta en GitHub

Los estafadores están haciéndose pasar por investigadores de seguridad para vender falsos exploits ProxyNotShell de prueba de concepto para vulnerabilidades de día cero de Microsoft Exchange recientemente descubiertas.

La semana pasada, la empresa vietnamita de ciberseguridad GTSC reveló que algunos de sus clientes habían sido atacados utilizando dos nuevas vulnerabilidades de día cero en Microsoft Exchange.

En colaboración con la Iniciativa de Día Cero de Trend Micro, los investigadores revelaron las vulnerabilidades de forma privada a Microsoft, que confirmó que los fallos estaban siendo explotados en ataques y que estaban trabajando en un calendario acelerado para lanzar actualizaciones de seguridad.

“Microsoft observó estos ataques en menos de 10 organizaciones a nivel mundial. MSTIC evalúa con una confianza media que el único grupo de actividad es probablemente una organización patrocinada por el Estado”, compartió Microsoft en un análisis de los ataques.

Los investigadores de seguridad mantienen en secreto los detalles técnicos de las vulnerabilidades, y parece que sólo un pequeño número de actores de amenazas las están explotando.

Por ello, otros investigadores y actores de amenazas están esperando la primera divulgación pública de las vulnerabilidades para utilizarlas en sus propias actividades, ya sea defendiendo una red o pirateando una.

Para aprovechar esta calma antes de la tormenta, un estafador ha comenzado a crear repositorios de GitHub donde intenta vender falsas pruebas de concepto para las vulnerabilidades Exchange CVE-2022-41040 y CVE-2022-41082.

John Hammond, de Huntress Lab, ha estado siguiendo a estos estafadores y ha encontrado cinco cuentas ya eliminadas que intentaban vender los falsos exploits. Estas cuentas tenían los nombres de “jml4da”, “TimWallbey”, “Liu Zhao Khin (0daylabin)”, “R007er” y “spher0x”.

Estas vulnerabilidades valen mucho más que 400 dólares, ya que Zerodium ofrece al menos 250.000 dólares por la ejecución remota de código de Microsoft Exchange de día cero.

No hace falta decir que esto es sólo una estafa, y el envío de cualquier bitcoin probablemente no dará lugar a recibir nada.

Además, con toda la información disponible, es probable que no resulte demasiado difícil encontrar un exploit para los fallos, especialmente para los actores de amenazas más avanzadas, como los hackers patrocinados por el Estado, que tendrían un incentivo para vulnerar organizaciones de interés.