Los expertos advierten que los piratas informáticos están atacando los servidores de Microsoft Exchange, explotar las vulnerabilidades de ProxyShell, e instalar puertas traseras en ellos para su posterior acceso..
Déjame recordarte que las vulnerabilidades, que se denominan colectivamente ProxyShell, eran discutido recientemente en la conferencia de sombrero negro. ProxyShell combina tres vulnerabilidades que permiten la ejecución remota de código sin autenticación en servidores Microsoft Exchange.
Estas vulnerabilidades son explotadas por el servicio de acceso al cliente de Microsoft Exchange. (CAS) corriendo en el puerto 443.
- CVE-2021-34473: Confusión de ruta sin autenticación que conduce a la omisión de ACL (arreglado en abril en KB5001779);
- CVE-2021-34523: Escalada de privilegios en el backend de Exchange PowerShell (arreglado en abril en KB5001779);
- CVE-2021-31207: Escribir archivos arbitrarios después de la autenticación, conduciendo a la ejecución remota de código (arreglado en mayo en KB5003435).
Estos problemas fueron descubiertos inicialmente por investigadores de Devcore., cuyo equipo recibió un $200,000 premio por explotarlos en el Abril 2021 Pwn2Own competencia de piratería. Devcore ahora dio una charla en Black Hat y entró en más detalles sobre las vulnerabilidades de Microsoft Exchange, Después de lo cual los piratas informáticos comenzaron a escanear Internet en busca de sistemas vulnerables..
Ahora, los conocidos investigadores de seguridad de la información Kevin Beaumont y Rich Warren tuitean que los ciberdelincuentes ya pasaron de los escaneos a las acciones activas y atacaron sus honeypots de Microsoft Exchange utilizando ProxyShell..
La ola de explotación de Exchange ProxyShell ha comenzado, parece cierto grado de fumigación. Nombres de shell aleatorios para acceder más tarde. Utiliza el nombre foo de @naranja_8361's initial talk.
— Kevin Beaumont (@GossiElPerro) Agosto 12, 2021
Actualmente, Los ciberdelincuentes utilizan ProxyShell para inyectar un 265 KB web shell en el servidor en c:\inetpubwwwrootaspnet_client (265 KB es el tamaño mínimo de archivo que se puede crear usando un exploit de ProxyShell).
Computadora que suena informes que dichos shells web consisten en un script simple protegido por autenticación que los atacantes pueden usar para cargar archivos en un servidor comprometido. Rich Warren agrega que los atacantes usan el primer shell web para descargar un shell web adicional a una carpeta de acceso remoto, así como dos ejecutables en C:\WindowsSystem32: crearhidetask.exe y ApplicationUpdate.exe.
Si no se encuentran estos ejecutables, Se creará otro shell web en forma de archivos ASPX con un nombre aleatorio en C.:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\.
Los atacantes utilizan un segundo shell web para iniciar createhidetask.exe, que crea una tarea programada llamada PowerManager, que inicia el ejecutable ApplicationUpdate.exe en 1 soy todos los dias.
Si bien la carga útil actual es segura, se espera que sea reemplazado por una carga útil maliciosa una vez que los atacantes comprometan suficientes servidores.
Déjame recordarte que también informé que US y Reino Unido acusaron a China de ataques a servidores de Microsoft Exchange.