Servidores não reparáveis do Microsoft Exchange atingidos com ataque proxyshell - Gustavo Kennedy Renkel

Pesquisadores identificaram mais de 140 webshells lançados contra 1.900 servidores Microsoft Exchange não reparados.

A Agência de Segurança Cibernética & Infraestrutura (CISA) emitiu um alerta de segurança urgente sobre um aumento repentino e inesperado nos ataques do ProxyShell. A agência uniu-se à comunidade de cibersegurança para disseminar a conscientização entre as organizações para instalar imediatamente a última atualização de segurança na qual a Microsoft liberou patches para vulnerabilidades do Exchange Servers.

Desta vez, os cibercriminosos estão mirando uma ampla gama de indústrias e organizações relativas à CISA.

140 webshells lançados contra servidores não reparados

A empresa de segurança cibernética Huntress teria descoberto 140 webshells lançados contra 1.900 servidores Microsoft Exchange não reparados. Os pesquisadores notaram que as vulnerabilidades do ProxyShell estão sendo exploradas por diferentes invasores, com o objetivo de comprometer servidores do MS Exchange em todo o mundo.

Os pesquisadores observaram ainda que as vulnerabilidades do ProxyShell foram exploradas ativamente ao longo de agosto, enquanto os atores de ameaças tentaram instalar o acesso backdoor depois de explorar o código ProxyShell. A onda desses ataques foi notada a partir de sexta à noite.

Em um tweet publicado em 20 de agosto, o pesquisador de Huntress, Kyle Hanslovan revelou que as organizações impactadas são incrivelmente diversas.

“As organizações impactadas até agora incluem a construção de mfgs, processadores de frutos do mar, máquinas industriais, oficinas de reparo de automóveis, um pequeno aeroporto residencial e muito mais”tuitou Hanslovan.

Atores de ameaça entregando LockFile Ransomware também

O pesquisador da Huntress, John Hammond colaborou com Rich Warren e Kevin Beumont para determinar o quão extensivamente os atores de ameaças exploram essas vulnerabilidades. De acordo com sua análise, três vulnerabilidades diferentes do MS Exchange Server são exploradas através de um protocolo de transmissão porta 442 para executar comandos arbitrários sem qualquer autenticação.

As webshells mais comuns lançadas contra servidores exchange não reparados incluem o XSL Transform, que foi usado 130 vezes, uploader de arquivos arbitrário, separação de comentários e ofuscação da palavra-chave “insegura”, loader de montagem refletida criptografada e codificação de caracteres Jscript Base64.

Além disso, os pesquisadores identificaram que os atores de ameaças estavam explorando o ProxyShell para fornecer ransomware LockFile.

A Tática Única

A equipe de pesquisa avaliou um sistema já infectado com ransomware LockFile e ProxyShell e identificou uma tática de ataque incomum onde o arquivo de configuração de serviço de internet exchange foi modificado, e um novo diretório virtual foi inserido. Este diretório ajuda a redirecionar um ponto final de URL para outro local no sistema de arquivos.

De acordo com Hammond, o atacante pode esconder a webshell fora das áreas monitoradas dos diretórios asp através dessa tática.

“Se você não sabe procurar por isso, isso vai cair sob o radar e os hackers persistirão no ambiente alvo. Além disso, o webshell oculto descoberto neste host usa a mesma técnica de transformação XML/XLS que vimos anteriormente”, escreveu Hammond em seu tweet.

Sobre as vulnerabilidades

As três vulnerabilidades do ProxyShell exploradas incluem as seguintes:

  • CVE-2021-34473 – Confusão do Caminho De pré-auth leva ao bypass da ACL
  • CVE-2021-34523 – Elevação do Privilégio no Backend Exchange PowerShell
  • CVE-2021-31207 – Post-auth Arbitrary-File-Write leva à RCE

A pesquisadora da Equipe de Pesquisa da DEVCORE, Orange Tsai, descobriu essas vulnerabilidades e demonstrou a cadeia de exploração nas conferências Black Hat e DEF CON e mais tarde publicou informações detalhadas. Beaumont publicou um plugin nmap que as organizações podem usar para identificar sistemas não reparáveis.

Fonte: HackRead.