Os servidores do Microsoft Exchange são pirateados por meio de vulnerabilidades proxyshell

Os agentes de ameaças estão explorando ativamente os servidores do Microsoft Exchange usando a vulnerabilidade do ProxyShell para instalar backdoors para acesso posterior.

ProxyShell é o nome de um ataque que usa três vulnerabilidades concatenadas no Microsoft Exchange para executar a execução remota de código não autenticado.

As três vulnerabilidades, listadas abaixo, foram descobertas pelo pesquisador principal de segurança da Devcore Orange tsai, que as desarmou para assumir um servidor Microsoft Exchange no concurso de hackers Pwn2Own de abril de 2021.

Na semana passada, Orange Tsai fez um Black Hat Speech sobre as recentes vulnerabilidades do Microsoft Exchange que ele descobriu visando a superfície de ataque do Microsoft Exchange Client Access Service (CAS).

Tsai revelou que a exploração do ProxyShell usa o recurso AutoDiscover do Microsoft Exchange para realizar um ataque SSRF como parte do discurso.

Depois de assistir ao discurso, os pesquisadores de segurança PeterJson e Nguyen Jang publicaram informações técnicas mais detalhadas sobre como reproduzir com sucesso a exploração do ProxyShell.

Pouco tempo depois, o pesquisador de segurança Kevin Beaumont começou a ver os agentes de ameaças procurando servidores Microsoft Exchange vulneráveis ​​para o ProxyShell.

ProxyShell explorado ativamente para remover webshells

Hoje, o pesquisador de vulnerabilidades do Beaumont e do NCC Group, Rich Warren, revelou que os agentes de ameaças exploraram seus honeypots do Microsoft Exchange usando a vulnerabilidade do ProxyShell.

Ao explorar o Microsoft Exchange, os invasores usam um URL de inicialização como:

 https://Exchange-server/autodiscover/ [email protected] /mapi/nspi/?&Email=autodiscover/autodiscover.json% [email protected]

Observação: o endereço de e-mail listado na URL não deve existir e mudar entre os invasores.

A exploração está atualmente lançando um webshell de 265 KB na pasta "c:inetpub wwwroot aspnet_client".

Na semana passada, Jang explicou ao BleepingComputer que 265 KB é o tamanho mínimo de arquivo que pode ser criado usando a exploração do ProxyShell devido ao abuso do recurso Exchange Power Shell Mailbox Export para criar arquivos PST.

A partir de uma amostra que Warren compartilhou com o BleepingComputer, os webshells consistem em um script simples protegido por autenticação que os agentes de ameaças podem usar para fazer upload de arquivos para o servidor Microsoft Exchange comprometido.

Warren disse que os criadores de ameaças usam o primeiro webshell para carregar um webshell adicional para uma pasta de acesso remoto e dois executáveis ​​para as pastas C:WindowsSystem32, listadas abaixo:

 C:WindowsSystem32createhidetask.exe C:WindowsSystem32ApplicationUpdate.exe

Se os dois executáveis ​​não puderem ser encontrados, outro webshell será criado na pasta a seguir como um arquivo ASPX com nomes aleatórios.

 C:Program FilesMicrosoftExchange ServerV15FrontEndHttpProxyowaauth

Os invasores usam o segundo webshell para iniciar "createhidetask.exe", que cria uma tarefa agendada chamada "PowerManager" que inicia o executável "ApplicationUpdate.exe" todos os dias à 1h.

Warren disse ao BleepingComputer que o executável ApplicationUpdate.exe é um carregador .NET personalizado usado como backdoor.

"ApplicationUpdate.exe é o carregador .NET que recupera outro binário .NET de um servidor remoto (que atualmente possui uma carga útil benigna)", explicou Warren.

Embora a carga útil atual seja benigna, ela deve ser substituída por uma carga maliciosa assim que servidores suficientes forem comprometidos.

A empresa de inteligência de segurança cibernética Bad Packets disse à BleepingComputer que atualmente vê agentes de ameaças escaneando dispositivos ProxyShell vulneráveis ​​de endereços IP nos Estados Unidos, Irã e Holanda.

Os endereços conhecidos são:

  • 3.15.221.32
  • 194.147.142.0/24

BadPackets também afirmou que os domínios de e-mail usados ​​nas verificações vieram de @abc.com e @1337.com, conforme mostrado abaixo.

Pacotes inválidos detectados por uma verificação do ProxyShell

Agora que os agentes de ameaças estão explorando ativamente servidores Microsoft Exchange vulneráveis, Beaumont aconselha os administradores a verificar o Azure Sentinel para ver se seus dispositivos foram verificados.

 W3CIISLog | where csUriStem == "/autodiscover/autodiscover.json" | where csUriQuery has "PowerShell" | where csMethod == "POST"

Para aqueles que não atualizaram recentemente o servidor Microsoft Exchange, é altamente recomendável que o façam imediatamente.

Como os ataques anteriores do ProxyLogon levaram a ransomware, malware e roubo de dados em servidores expostos, é provável que veremos ataques semelhantes com o ProxyShell.

  • Como usar Rsync e SSH em um pipeline Dockerized GitLab CI
  • Ransomware Vice Society se junta aos ataques PrintNightmare em andamento

descubra mais conteúdo

Google Pixel Watch também tem detecção de queda, mas não até o próximo ano

As melhores xícaras de café aquecidas de 2022

Como automatizar seu iPhone com base na hora, atividade ou localização

"Isso deve ter sido antes do meu tempo"

Por que a NASA enviou Snoopy para a Lua? – Revisão Geek

O que é uma carga fantasma?

Deixe uma resposta Cancelar resposta

Ir arriba