Программа-вымогатель LockFile атакует Microsoft Exchange с помощью эксплойтов ProxyShell

40
Программа-вымогатель шифрует всю сеть Министерства юстиции ЮАР

Новая банда вымогателей, известная как LockFile, шифрует домены Windows после взлома серверов Microsoft Exchange с использованием недавно обнаруженных уязвимостей ProxyShell.

ProxyShell – это название атаки, состоящей из трех связанных уязвимостей Microsoft Exchange, которые приводят к удаленному выполнению кода без проверки подлинности.

Три уязвимости были обнаружены главным исследователем безопасности Devcore Оранж Цай , который связал их вместе, чтобы захватить сервер Microsoft Exchange в апрельском хакерском конкурсе Pwn2Own 2021.

  • CVE-2021-34473 – путаница перед аутентификацией приводит к обходу ACL (исправлено в апреле KB5001779)
  • CVE-2021-34523 – Повышение привилегий в серверной части Exchange PowerShell (исправлено в апреле, KB5001779)
  • CVE-2021-31207 – Запись произвольного файла после авторизации приводит к RCE (исправлено в мае KB5003435)

Хотя Microsoft полностью устранила эти уязвимости в мае 2021 года, недавно были раскрыты дополнительные технические подробности, что позволило исследователям безопасности и злоумышленникам воспроизвести эксплойт.

Как сообщил на прошлой неделе BleepingComputer, это привело к тому, что злоумышленники начали активно сканировать и взламывать серверы Microsoft Exchange с помощью уязвимостей ProxyShell .

После эксплуатации сервера Exchange злоумышленники сбросили веб-оболочки, которые можно было использовать для загрузки других программ и их выполнения.

В то время исследователь уязвимостей NCC Group Рич Уоррен сообщил BleepingComputer, что веб-оболочки использовались для установки бэкдора .NET, который в то время загружал безобидную полезную нагрузку.

С тех пор исследователь безопасности Кевин Бомонт сообщает, что новая операция вымогателя, известная как LockFile, использует уязвимости Microsoft Exchange ProxyShell и Windows PetitPotam для захвата доменов Windows и шифрования устройств.

При проникновении в сеть злоумышленники сначала получают доступ к локальному серверу Microsoft Exchange, используя уязвимости ProxyShell. Symantec заявляет, что после того, как они закрепятся, банда LockFile использует уязвимость PetitPotam для захвата контроллера домена и, следовательно, домена Windows.

После этого развернуть программу-вымогатель по всей сети очень просто.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here