Especialistas alertam que hackers estão atacando servidores Microsoft Exchange, explorando vulnerabilidades do ProxyShell, e instalando backdoors neles para acesso posterior.
Deixe-me lembrá-lo de que as vulnerabilidades, que são chamados coletivamente de ProxyShell, eram discutido recentemente na conferência Black Hat. ProxyShell combina três vulnerabilidades que permitem execução remota de código sem autenticação em servidores Microsoft Exchange.
Essas vulnerabilidades são exploradas pelo Microsoft Exchange Client Access Service (CAS) correndo no porto 443.
- CVE-2021-34473: Confusão de caminho sem autenticação levando ao desvio de ACL (corrigido em abril em KB5001779);
- CVE-2021-34523: Escalonamento de privilégios no back-end do Exchange PowerShell (corrigido em abril em KB5001779);
- CVE-2021-31207: Gravando arquivos arbitrários após autenticação, levando à execução remota de código (corrigido em maio em KB5003435).
Esses problemas foram inicialmente descobertos por pesquisadores da Devcore, cuja equipe recebeu um $200,000 prêmio por explorá-los no abril 2021 Pwn2Own competição de hackers. Devcore agora deu uma palestra na Black Hat e entrou em mais detalhes sobre as vulnerabilidades do Microsoft Exchange, depois disso, os hackers começaram a escanear a Internet em busca de sistemas vulneráveis.
Agora, os conhecidos pesquisadores de segurança da informação Kevin Beaumont e Rich Warren tweetam que os cibercriminosos já passaram de verificações para ações ativas e atacaram seus honeypots do Microsoft Exchange usando ProxyShell.
A onda de exploração do Exchange ProxyShell começou, parece algum grau de pulverização. Nomes de shell aleatórios para acesso posterior. Usa o nome foo de @laranja_8361's initial talk.
— Kevin Beaumont (@GossiTheDog) Agosto 12, 2021
Atualmente, os cibercriminosos estão usando o ProxyShell para injetar um 265 Shell da web KB no servidor em c:\inetpubwwwrootaspnet_client (265 KB é o tamanho mínimo de arquivo que pode ser criado usando um exploit ProxyShell).
Computador bipando relatórios que tais web shells consistem em um script simples protegido por autenticação que os invasores podem usar para fazer upload de arquivos para um servidor comprometido. Rich Warren acrescenta que os invasores usam o primeiro web shell para baixar um web shell adicional para uma pasta de acesso remoto, bem como dois executáveis em C:\WindowsSystem32: createhidetask.exe e ApplicationUpdate.exe.
Se esses executáveis não forem encontrados, outro web shell será criado na forma de arquivos ASPX com um nome aleatório em C:\Arquivos de programasMicrosoftExchange ServerV15FrontEndHttpProxyowaauth.
Os invasores usam um segundo web shell para iniciar createhidetask.exe, que cria uma tarefa agendada chamada PowerManager, que inicia o executável ApplicationUpdate.exe em 1 estou todos os dias.
Embora a carga útil atual seja segura, espera-se que seja substituído por uma carga maliciosa assim que os invasores comprometerem servidores suficientes.
Deixe-me lembrá-lo de que também relatei que vocêS e Reino Unido acusaram a China por ataques a servidores Microsoft Exchange.