La vulnerabilitat afecta PHP quan s’executa en mode CGI, on un servidor web analitza les sol·licituds HTTP i les passa a un script PHP. Fins i tot sense el mode CGI, la vulnerabilitat pot ser explotada si els executables de PHP són accessibles pel servidor web, particularment en la plataforma XAMPP, que utilitza aquesta configuració per defecte. L’atac també requereix que la configuració regional de Windows estigui configurada en xinès o japonès.
La vulnerabilitat va ser divulgada el 6 de juny i, en un termini de 24 hores, els atacants van començar a explotar-la per instal·lar el ransomware TellYouThePass. Els atacants van utilitzar el binari mshta.exe de Windows per executar arxius d’aplicacions HTML des d’un servidor controlat pels atacants, emprant una tècnica coneguda com living off the land, que utilitza funcionalitats natives del sistema operatiu per evitar la detecció.
Els investigadors de Censys van detectar fluctuacions en el nombre de servidors infectats, que oscil·len entre 670 i 1,800, amb la majoria de les infeccions localitzades a la Xina, Taiwan, Hong Kong o Japó. La falta de pagaments de rescat observats suggereix que molts servidors compromesos poden haver estat desmantellats o desconnectats. Els experts en seguretat insten els administradors que executen PHP en qualsevol sistema Windows a instal·lar les últimes actualitzacions immediatament per prevenir una major explotació.
Source: Arstechnica
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.