A ferramenta MSERT da Microsoft agora encontra shells web para ataques de servidor Exchange

A Microsoft lançou uma nova atualização para sua ferramenta Microsoft Safety Scanner (MSERT) para detectar web shells implantados em ataques recentes no Exchange Server.

Em 2 de março, a Microsoft divulgou que quatro vulnerabilidades de falha zero do Exchange Server foram usadas em ataques contra servidores expostos do Outlook na Web (OWA). Essas vulnerabilidades são detectadas como CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065.

Conhecidas como "ProxyLogon", essas vulnerabilidades são usadas por ameaças patrocinadas pelo estado chinês para roubar caixas de correio, coletar credenciais e distribuir shells da Web para acessar a rede interna.

Quando a Microsoft divulgou esses ataques, lançou assinaturas atualizadas para o Microsoft Defender que detectarão shells da Web instalados usando vulnerabilidades de dia zero.

O Microsoft Defender detecta esses shells da Web com os seguintes nomes:

  • Exploit: Script / Exmann.A! Dha
  • Comportamento: Win32 / Exmann.A
  • Backdoor: ASP/SecChecker.A
  • Backdoor: JS / Webshell (não exclusivo para esses ataques)
  • Trojan: JS/Chopper! Dha (não exclusivo para esses ataques)
  • Comportamento: Win32 / DumpLsass.A! Attk (não exclusivo para esses ataques)
  • Backdoor: HTML / TwoFaceVar.B (não exclusivo para esses ataques)

Para organizações que não estão usando o Microsoft Defender, a Microsoft adicionou assinaturas atualizadas ao arquivo de ferramenta autônomo do Microsoft Security Scanner para ajudar as organizações a encontrar e remover os shells da Web usados ​​nesses ataques.

índice

  1. Usando o Microsoft Safety Scanner para remover web shells
  2. Novos scripts do PowerShell encontram web shells

Usando o Microsoft Safety Scanner para remover web shells

O Microsoft Safety Scanner, também conhecido como Microsoft Support Emergency Response Tool (MSERT), é uma ferramenta antimalware portátil autônoma que inclui assinaturas do Microsoft Defender para verificar e remover malware detectado.

O MSERT é um scanner sob demanda e não oferece proteção em tempo real. Portanto, ele deve ser usado apenas para verificações pontuais e não deve ser considerado um programa antivírus completo.

Além disso, o MSERT excluirá automaticamente todos os arquivos detectados e não os colocará em quarentena. Se você precisar salvar os arquivos detectados, não use o MSERT e, em vez disso, use o script do PowerShell descrito no final do artigo.

O Microsoft Security Scanner pode ser baixado como um executável de 32 ou 64 bits e é usado para realizar verificações pontuais de uma máquina conforme necessário.

Após iniciar o programa, aceite os contratos de licença e será apresentada uma tela perguntando que tipo de análise você deseja executar.

A Microsoft recomenda selecionar a opção "Verificação completa" para verificar todo o servidor.

Seleção completa de varredura MSERT

Como a verificação completa pode levar muito tempo dependendo do tamanho da instalação, a Microsoft também afirma que você pode executar uma "verificação personalizada" em cada uma das seguintes pastas:

  • %IIS%aspnet_client * caminho de instalação
  • %IIS% aspnet_client system_web * caminho de instalação
  • % Caminho de instalação do Exchange Server % FrontEnd HttpProxy owa auth *
  • Caminho para arquivos ASP.NET temporários configurados
  • % Configurações do Exchange Server % FrontEnd HttpProxy ecp auth *

Quando a verificação for concluída, o MSERT informará quais arquivos foram removidos e o nome de sua definição.

Resultados da verificação do Microsoft Safety Scanner

Para obter informações mais detalhadas sobre quais arquivos foram removidos, você pode consultar o arquivo %SYSTEMROOT% debug msert.log, conforme mostrado abaixo.

Backdoor: Web shell ASP/Chopper.F! Dha detectado pelo MSERT

Depois de usar o MSERT, você pode desinstalar a ferramenta simplesmente excluindo o executável msert.exe.

Novos scripts do PowerShell encontram web shells

Se você quiser verificar shells da Web sem removê-los, você pode usar um novo script do PowerShell chamado detect_webshells.ps1 criado por CERT Letônia.

"A atividade inicial em janeiro de 2021 foi atribuída ao HAFNIUM, no entanto, essas explorações foram detectadas e usadas por outros agentes de ameaças. Antes da divulgação pública e dos patches lançados pela Microsoft (a partir de aproximadamente 27 de fevereiro), os servidores Exchange expostos publicamente começaram a ser explorados. indiscriminadamente”.

"Portanto, instalar as atualizações mais recentes do Exchange imediatamente após serem lançadas pela Microsoft não mitigou totalmente o risco de deterioração anterior, portanto, todos os servidores Exchange devem ser inspecionados quanto a quaisquer sinais de acesso não autorizado", explica. CERT-LV na descrição do projeto .

Esse script exibirá arquivos que contêm strings específicas usadas por web shells, mas não pelo Microsoft Exchange, em ataques ProxyLogon. A vantagem desse script é que ele não exclui o arquivo e permite que os socorristas o analisem melhor.

detect_webshells.ps1 usado para encontrar web shells

Você pode encontrar mais informações sobre como usar esse script no repositório GitHub do projeto CERT-LV.

A Microsoft também lançou um script do PowerShell chamado Test-ProxyLogon.ps1 que pode ser usado para procurar indicadores de comprometimento (IOCs) relacionados a esses ataques nos arquivos de log do Exchange e do OWA.

  • Como usar o "Chrome Labs" do Google para testar novos recursos do navegador
  • Microsoft Office 365 ganha proteção contra macros XLM maliciosas

descubra mais conteúdo

Google Pixel Watch também tem detecção de queda, mas não até o próximo ano

As melhores xícaras de café aquecidas de 2022

Como automatizar seu iPhone com base na hora, atividade ou localização

"Isso deve ter sido antes do meu tempo"

Por que a NASA enviou Snoopy para a Lua? – Revisão Geek

O que é uma carga fantasma?

Deixe uma resposta Cancelar resposta

O que é o aplicativo Msert?

O Microsoft Safety Scanner, também conhecido como Microsoft Support Emergency Response Tool ( MSERT ) é uma ferramenta antimalware portátil e autônoma que inclui assinaturas do Microsoft Defender para verificar e remover malware detectado.

Como remover Msert?

Para remover o msert .exe de um computador Windows, você precisa desinstalar o Microsoft Safety Scanner do seu computador. Para isso, vá ao Painel de Controle, acesse a lista de programas instalados e desinstale-o como qualquer outro aplicativo.

O que o Microsoft Safety Scanner faz se detectar um vírus?

O Microsoft Safety Scanner é uma ferramenta (desenvolvida pela Microsoft , como o próprio nome sugere) que nos permitirá realizar esse tipo de análise em busca de vírus em nosso computador usando seus próprios bancos de dados sem precisar instalar software adicional ou manter um processo de análise continuado Como

Como executar o antimalware do Windows 10?

Para habilitar ou desabilitar o Microsoft Defender Antivirus: Selecione Iniciar > Configurações > Atualização e Segurança > Windows e Segurança > proteção contra vírus e ameaças. Em configurações de proteção contra vírus e ameaças, selecione Gerenciar configurações.

Ir arriba