Cụ thể, các lỗ hổng định danh CVE-2021-34473, CVE-2021-34523 và CVE-2021-31207 cho phép tin tặc qua mặt các danh sách điều khiển truy cập (Acces-Control List - ACL), leo thang đặc quyền trên backend của Exchange PowerShell và cho phép thực thi mã từ xa không cần xác thực.

Chiến dịch khai thác của tin tặc diễn ra hơn một tuần sau khi các nhà nghiên cứu an ninh mạng cảnh báo về khả năng quét và khai thác máy chủ Exchange chưa được vá bằng cách lợi dụng chuỗi tấn công ProxyShell.

ProxyShell, ProxyLogon và ProxyOracle, là bộ ba chuỗi khai thác được phát hiện bởi nhà nghiên cứu bảo mật Orange Tsai (DEVCORE). Trong đó, ProxyOracle liên quan đến hai lỗ hổng thực thi mã từ xa có thể được sử dụng để khôi phục mật khẩu của người dùng ở dạng plaintext.

Theo các nhà nghiên cứu từ Huntress Labs (Hoa Kỳ), có ít nhất 5 kiểu web shell riêng biệt đã được triển khai cho các máy chủ Microsoft Exchange tồn tại lỗ hổng với hơn 100 sự cố được báo cáo liên quan đến việc khai thác từ ngày 17 - 18/8. Các Web shell giúp tin tặc giành quyền truy cập từ xa đến các máy chủ bị xâm nhập. Tuy nhiên, hiện chưa rõ mục tiêu cuối cùng của tin tặc là gì và các lỗ hổng đã bị khai thác đến mức độ nào.

Kyle Hanslovan, Giám đốc điều hành Huntress Labs cho biết: “Các tổ chức bị ảnh hưởng cho đến nay hoạt động trong các lĩnh vực: sản xuất xây dựng, chế biến thủy sản, máy móc công nghiệp, cửa hàng sửa chữa ô tô, một sân bay dân dụng...".

Cho đến nay, hơn 140 web shell đã được phát hiện trong hơn 1.900 máy chủ Exchanger hiện chưa được vá.