Uma vulnerabilidade RCE crítica nas Extensões de protocolo IKE (Internet Key Exchange) do Windows está sendo explorada em uma campanha ativa. Suspeita-se que a campanha “流血你”, traduzida como “Bleed You”, seja operada por agentes de ameaças desconhecidos que falam mandarim. Os pesquisadores da empresa de segurança Cyfirma encontraram mais de mil sistemas expostos a essa vulnerabilidade (CVE-2022-34721).
Veja isso
Microsoft acusa China de usar alerta de bug para criar dia zero
RCE no Log4j é explorada por hackers apoiados pela China
A partir de fóruns clandestinos, a equipe de pesquisa também observou hackers compartilhando o link de exploração que poderia ser usado para atingir sistemas vulneráveis.
A falha crítica está sob ataque desde setembro, alerta o relatório, afetando o sistema operacional Windows vulnerável, servidores Windows, juntamente com o protocolo e serviços do Windows. Depois de conseguir o comprometimento, os agentes de ameaças se movem lateralmente para implantar ransomware e outros malwares, observou a equipe.
Os atores da ameaça falam mandarim, mas também têm laços com os cibercriminosos russos, de acordo com a Cyfirma, que acrescenta que os ataques não se limitam a um setor específico com alvos no varejo, governo, serviços de TI e muito mais. As vítimas também estavam espalhadas por vários países ocidentais, incluindo Canadá, Reino Unido e Estados Unidos.
O relatório está em “https://www.cyfirma.com/outofband/windows-internet-key-exchange-ike-remote-code-execution-vulnerability-analysis/”