Pesquisadores do Huntress Labs estimam que nos últimos dias, sobre 2,000 Os servidores de e-mail do Microsoft Exchange foram comprometidos e infectados com backdoors, porque seus proprietários não instalaram patches para corrigir vulnerabilidades do ProxyShell.
Deixe-me lembrá-lo de que as vulnerabilidades, que foram chamados coletivamente de ProxyShell, eram discutido na conferência Black Hat no início de agosto. ProxyShell combina três vulnerabilidades que permitem execução remota de código sem autenticação em servidores Microsoft Exchange.
Serviço de acesso para cliente Microsoft Exchange (CAS) explora essas vulnerabilidades em execução na porta 443.
- CVE-2021-34473: Confusão de caminho sem autenticação levando ao desvio de ACL (corrigido em abril em KB5001779);
- CVE-2021-34523: Escalonamento de privilégios no back-end do Exchange PowerShell (corrigido em abril em KB5001779);
- CVE-2021-31207: Gravando arquivos arbitrários após autenticação, levando à execução remota de código (corrigido em maio em KB5003435).
Uma exploração para ProxyShell foi usada durante o Pwn2Own 2021 concurso de hackers em abril deste ano, e então o comprometimento bem-sucedido do servidor trouxe os pesquisadores $200,000.
Embora a Microsoft tenha corrigido as vulnerabilidades, nem todos os administradores instalaram esses patches a tempo.
Por exemplo, uma varredura realizada em agosto 8 por ISC SANS (dois dias após a publicação do exploit PoC) mostrou que mais do que 30,400 Servidores Exchange ainda estão vulneráveis a ataques. Além disso, uma lista de todos 100,000 Os servidores Exchange acessíveis pela Internet foram logo publicados em um conhecido fórum de hackers, o que simplificou ainda mais a tarefa dos cibercriminosos.
Pesquisadores já alertaram que começaram varreduras em busca de servidores vulneráveis e tentativas de hackeá-los. Na semana passada, esses ataques se tornaram mais frequentes, e o ransomware LockFile foi notado, qual já começou usando um exploit ProxyShell para penetrar em redes corporativas.
Os pesquisadores do Huntress Labs que estudaram os servidores Microsoft Exchange que foram comprometidos com o ProxyShell agora relatam que encontraram mais de 140 diferentes web shells em mais de 1,900 servidores Exchange comprometidos.
Deixe-me lembrá-lo que eu também escrevi isso EUA e Reino Unido acusaram a China de ataques a servidores Microsoft Exchange.