Vulnerabilidades do ProxyShell exploradas ativamente para fornecer shells web e ransomware

34

Três vulnerabilidades chamadas “ProxyShell” estão sendo ativamente exploradas por vários invasores para comprometer servidores do Microsoft Exchange em todo o mundo, alertou a Agência de Segurança cibernética e infraestrutura (CISA) no fim de semana.

As vulnerabilidades

As três vulnerabilidades do ProxyShell que podem ser conectadas em uma cadeia de exploração completa são as seguintes.

  • CVE-2021-34473 – Confusão do Caminho De pré-auth leva ao bypass da ACL
  • CVE-2021-34523 – Elevação do Privilégio no Backend Exchange PowerShell
  • CVE-2021-31207 – Post-auth Arbitrary-File-Write leva à RCE

As vulnerabilidades foram descobertas e a cadeia de exploração demonstrada em ação pela pesquisadora Orange Tsai e seus colegas da Equipe de Pesquisa da DEVCORE no concurso Pwn2Own no início deste ano. Ele também falou sobre isso no início deste mês nas conferências Black Hat e DEF CON, e depois lançou uma redações técnicas na semana passada.

Beaumont apontou que essas vulnerabilidades são piores do que as falhas do ProxyLogon (também descobertas por Tsai), porque são mais facilmente exploráveis.

“Eles são vulnerabilidades de execução remota pré-autenticadas (sem senha necessária), o que é tão grave quanto eles vêm”, observou.

“Além disso, durante os ataques do ProxyLogon em janeiro-março, os invasores precisavam conhecer uma caixa de correio do administrador do Exchange e codificados para [email protected] em prova de código conceitual. Essa caixa de correio só existia se você instalasse o Exchange como essa conta, e acessasse o e-mail, que é uma situação minoritária — portanto, a maioria das orgs se safou. No entanto, com o ProxyShell isso não se aplica — você não precisa saber a identidade de um administrador do Exchange com antecedência.”

Publicações Relacionadas

As vulnerabilidades foram corrigidas pela Microsoft em abril e maio de 2021, mas a Microsoft não atribuiu CVEs às vulnerabilidades na época e promover adequadamente o fato de que elas poderiam em breve levar a sérios problemas.

Vulnerabilidades do ProxyShell exploradas na natureza

O aviso da CISA vem semanas depois que os pesquisadores de segurança Kevin Beaumont e Rich Warren começaram a notar tentativas de exploração contra seus potes de mel e compartilharam repetidamente detalhes sobre eles.

Pesquisadores da empresa de cibersegurança Huntress também têm compartilhado IoCs de ataques ativos fornecendo shells web e – mais tarde – mineradores de moedas e ransomware (LockFile, conforme detalhado pela equipe de caçadores de ameaças da Symantec).

Infelizmente, muitos administradores corporativos ainda não atualizaram os servidores do Microsoft Exchange para protegê-los contra exploração:

Beaumont forneceu um nmap que as organizações de plugin podem usar para identificar sistemas não reparados e instou-os a implementar os patches necessários.

Claro, aqueles que ainda não corrigiram as falhas também devem verificar se suas máquinas já foram estouradas pelos atacantes. O post de Beaumont e as anotações compartilhadas por pesquisadores da Huntress e da Symantec oferecem mais informações sobre o que procurar.

você pode gostar também