安全研究人员发现,威胁行为者正在出售针对最近确认的 Microsoft Exchange 零日漏洞的虚假概念验证 ProxyNotShell 漏洞利用。通过冒充安全研究人员,诈骗者试图通过伪造漏洞来获取金钱。
上周末,微软确认了 Exchange Server 中的两个新漏洞。
该公司正在跟踪漏洞,分别为 CVE-2022-41040 和 CVE-2022-41082。微软将第一个描述为服务器端请求伪造 (SSRF) 错误,而第二个可能允许威胁参与者通过 PowerShell 进行远程代码执行 (RCE) 攻击。
微软在针对这些漏洞的指导中表示,它已经看到针对 10 个组织的针对性攻击。威胁参与者能够利用这些漏洞,微软认为这些攻击来自一个国家资助的组织。
迄今为止,微软和其他致力于这些漏洞的安全研究人员都将技术信息保密。这是为了阻止更多的威胁参与者学习如何利用它们。似乎只有一小部分黑客找到了利用这些漏洞的方法。
GitHub 骗局
然而,一个骗子采取了邪恶的举措。在 GitHub 上,此人正在创建伪装成 CVE-2022-41040 和 CVE-2022-41082 的概念验证漏洞利用的存储库。
Huntress Labs 的 John Hammond 一直在跟踪诈骗者并在 Twitter 上绘制他们的活动图。他发现了五个销售虚假漏洞的账户:“jml4da”、“TimWallbey”、“Liu Zhao Khin (0daylabin)”、“R007er”和“spher0x”。此后,每个帐户都已从 GitHub 中删除。
可能有更多的诈骗者希望利用这种情况。Microsoft Exchange Server 零日漏洞利用可以卖到数十万美元。不用说,你不应该将任何现金或加密货币交给任何声称有漏洞的人。