Microsoft sedang menyelidiki laporan bug zero-day baru yang disalahgunakan untuk meretas server Exchange yang kemudian digunakan untuk meluncurkan serangan ransomware Lockbit.
Setidaknya dalam satu insiden sejak Juli 2022, penyerang menggunakan web shell yang sebelumnya digunakan pada server Exchange yang disusupi untuk meningkatkan hak istimewa ke admin Active Directory, mencuri sekitar 1,3 TB data, dan mengenkripsi sistem jaringan.
Seperti yang dijelaskan oleh perusahaan keamanan siber Korea Selatan AhnLab, yang ahli analisis forensiknya dipekerjakan untuk membantu penyelidikan, pelaku ancaman hanya membutuhkan waktu seminggu untuk membajak akun admin AD sejak web shell diunggah.
AhnLab mengatakan server Exchange kemungkinan diretas menggunakan “kerentanan zero-day yang tidak diungkapkan,” mengingat korban menerima dukungan teknis dari Microsoft untuk menyebarkan patch keamanan triwulanan setelah kompromi sebelumnya dari Desember 2021.
Seperti yang dikatakan juru bicara Microsoft kepada BleepingComputer sebelumnya, perusahaan sedang “menyelidiki klaim dalam laporan ini dan akan mengambil tindakan apa pun yang diperlukan untuk membantu melindungi pelanggan.”
Selengkapnya: Bleeping Computer
