Investigadores de seguridad cibernética han descubierto varias cuentas de GitHub que venden explotaciones falsas de concepto de prueba de trabajo para las últimas vulnerabilidades de día cero descubiertas en Microsoft Exchange.
La advertencia sigue al descubrimiento de dos nuevas vulnerabilidades de día cero en Microsoft Exchange: CVE-2022-41040 y CVE-2022-41082. Se trata de una falla de falsificación de solicitud del lado del servidor (SSRF) y una falla de ejecución remota de código (RCE), y se dice que ambos están siendo utilizados por actores de amenazas en la naturaleza.
Microsoft confirmó la existencia tanto de las fallas como de los actores de amenazas que lo usan, y dijo que estaba trabajando en un parche. (se abre en una pestaña nueva). Hasta que eso suceda, no compartirá más detalles sobre las vulnerabilidades, para no dar nuevas ideas a los piratas informáticos; sin embargo, algunos vieron esto como una oportunidad para ganar dinero rápido.
Cuentas falsas que venden exploits falsos
Según lo informado por BleepingEquipolos investigadores encontraron al menos dos campañas de fraude separadas: una compuesta por cinco cuentas que buscaban vender exploits falsos (‘jml4da’, ‘TimWallbey’, ‘Liu Zhao Khin (0daylabin)’, ‘R007er’ y ‘spher0x’), y otra uno que se hace pasar por Kevin Beaumont, también conocido como GossTheDog, un popular experto en ciberseguridad.
Los repositorios de GitHub a la venta por suerte no contienen ningún malware (se abre en una pestaña nueva). Tampoco contienen ningún archivo importante, solo un archivo README.md que detalla lo que se sabe sobre las vulnerabilidades hasta el momento y un argumento sobre cómo los delincuentes están vendiendo una copia de un exploit PoC para los días cero.
«Esto significa que puede pasar desapercibido para el usuario y potencialmente también para el equipo de seguridad. Una herramienta tan poderosa no debería ser completamente pública, solo hay una copia disponible para que un investigador REAL pueda usarla: https://satoshidisk. com/pay/xxx», dice el documento.
Luego, el archivo conduce a una página de SatoshiDisk donde los piratas informáticos crédulos pueden «comprar» el exploit falso por 0.0182 Bitcoin, o aproximadamente $ 420.
Esto ya debería considerarse una señal de alerta, ya que fallas como esta deberían costar al menos mil veces más. Aparentemente, la compañía de TI Zerodium ofrece $250,000 por fallas de RCE en Microsoft Exchange.
Vía: BleepingComputer (se abre en una pestaña nueva)