Серверы Microsoft Exchange взламывают с помощью эксплойтов ProxyShell

57
Польский генный проект отказывается от китайских технологий из-за проблем с данными

Злоумышленники активно используют серверы Microsoft Exchange, используя уязвимость ProxyShell, чтобы установить бэкдоры для последующего доступа.

ProxyShell – это название атаки, в которой используются три связанных уязвимости Microsoft Exchange для выполнения удаленного выполнения кода без проверки подлинности.

Три уязвимости, перечисленные ниже, были обнаружены главным исследователем безопасности Devcore Оранж Цай , который связал их вместе, чтобы захватить сервер Microsoft Exchange в апрельском хакерском конкурсе Pwn2Own 2021.

  • CVE-2021-34473 – Путаница пути перед аутентификацией приводит к обходу ACL (исправлено в апреле KB5001779)
  • CVE-2021-34523 – Повышение привилегий для серверной части Exchange PowerShell (исправлено в апреле, KB5001779)
  • CVE-2021-31207 – запись произвольного файла после авторизации приводит к RCE (исправлено в мае KB5003435)

На прошлой неделе Оранж Цай выступил в Black Hat с докладом о недавних уязвимостях Microsoft Exchange, которые он обнаружил при атаке на поверхность атаки Microsoft Exchange Client Access Service (CAS).

Цай сообщил, что эксплойт ProxyShell использует функцию автообнаружения Microsoft Exchange для выполнения атаки SSRF в рамках разговора.

После просмотра выступления исследователи безопасности PeterJson и Nguyen Jang опубликовали более подробную техническую информацию об успешном воспроизведении эксплойта ProxyShell.

Вскоре после этого исследователь безопасности Кевин Бомонт начал наблюдать, как злоумышленники сканируют серверы Microsoft Exchange, уязвимые для ProxyShell.

ProxyShell активно используется для удаления веб-шеллов

Сегодня Бомонт и исследователь уязвимостей NCC Group Рич Уоррен раскрыли, что злоумышленники использовали свои приманки Microsoft Exchange с помощью уязвимости ProxyShell.

При эксплуатации Microsoft Exchange злоумышленники используют начальный URL-адрес, например:

https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com

Примечание. Адрес электронной почты, указанный в URL-адресе, не обязательно должен существовать и меняться у злоумышленников.

В настоящее время эксплойт сбрасывает веб-оболочку размером 265 КБ в папку c: \ inetpub \ wwwroot \ aspnet_client \.

Злоумышленники используют вторую веб-оболочку для запуска createhidetask.exe, который создает запланированную задачу с именем PowerManager, которая запускает исполняемый файл ApplicationUpdate.exe в 1 час ночи каждый день.

Уоррен сказал BleepingComputer, что исполняемый файл ApplicationUpdate.exe – это пользовательский загрузчик .NET, используемый в качестве бэкдора.

«ApplicationUpdate.exe – это загрузчик .NET, который загружает другой двоичный файл .NET с удаленного сервера (который в настоящее время обслуживает полезную нагрузку)», – пояснил Уоррен.

Несмотря на то, что текущая полезная нагрузка безопасна, ожидается, что она будет заменена вредоносной полезной нагрузкой, как только будет скомпрометировано достаточное количество серверов.

Компания Bad Packets, занимающаяся разведкой кибербезопасности, сообщила BleepingComputer, что в настоящее время они видят, что злоумышленники сканируют уязвимые устройства ProxyShell с IP-адресов в США, Иране и Нидерландах.

Известные адреса:

  • 3.15.221.32
  • 194.147.142.0/24

BadPackets также сообщил, что домены электронной почты, использованные при сканировании, были от @ abc.com и @ 1337.com, как показано ниже.

Теперь, когда злоумышленники активно используют уязвимые серверы Microsoft Exchange, Бомонт советует администраторам выполнять запросы Azure Sentinel, чтобы проверить, просканированы ли их устройства.

W3CIISLog | where csUriStem == “/autodiscover/autodiscover.json” | where csUriQuery has “PowerShell” | where csMethod == “POST”

Тем, кто не обновлял свой сервер Microsoft Exchange в последнее время, настоятельно рекомендуется сделать это немедленно.

Поскольку предыдущие атаки ProxyLogon приводили к вымогателям , вредоносным программам и краже данных на открытых серверах, мы, вероятно, увидим аналогичные атаки с использованием ProxyShell.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here