Хакери активно використовують сервери Microsoft Exchange для встановлення бекдорів. Як пише BleepingComputer, ProxyShell – це назва атаки, яка використовує взаємно пов’язані Уразливості у Microsoft Exchange для виконання неавторизованого віддаленого виконання коду.
Три уразливі місця, перераховані нижче, були виявлені головним дослідником безпеки Devcore Оранжем Цаєм, який об’єднав їх разом, щоб заволодіти сервером Microsoft Exchange у квітневому хакерському конкурсі Pwn2Own 2021.
- CVE-2021-34473- Помилка шляху попередньої авторизації веде до обходу ACL (виправлено у квітні KB5001779);
- CVE-2021-34523-Підвищення привілеїв на сервері Exchange PowerShell (виправлено у квітні KB5001779);
- CVE-2021-31207-Довільна довільна запис файлів після авторизації веде до RCE (виправлено у травні KB5003435).
Минулого тижня Оранж Цай розповів медіа про недавні уразливості Microsoft Exchange, які він виявив під час атаки на поверхню атаки Служби клієнтського доступу Microsoft Exchange (CAS). Цай показав, що експлойт ProxyShell використовує функцію автоматичного виявлення Microsoft Exchange для виконання атаки SSRF.
Дослідники безпеки Пітер Джейсон та Нгуєн Янг опублікували більш детальну технічну інформацію про успішне відтворення експлойта ProxyShell. Незабаром дослідник безпеки Кевін Бомонт помітив, як хакери шукають сервери Microsoft Exchange, уразливі для ProxyShell.
Під час використання Microsoft Exchange зловмисники використовують початкову URL -адресу, наприклад:
https: //Exchange-server/autodiscover/[email protected]/mapi/nspi/? &Email=autodiscover/autodiscover.json%[email protected]
Примітка. Адреса електронної пошти, зазначена в URL-адресі, не повинна ніяк стосуватися зловмисників.
Наразі експлойт скидає веб -оболонку розміром 265 КБ у папку ‘c: \ inetpub \ wwwroot \ aspnet_client \’.
Минулого тижня Джанг пояснив, що 265 КБ – це мінімальний розмір файлів, який можна створити за допомогою експлойта ProxyShell через зловживання функцією експорту поштової скриньки Exchange Powershell для створення файлів PST. Веб-оболонки складаються з простого сценарію, захищеного автентифікацією, який хакери можуть використовувати для завантаження файлів на зламаний сервер Microsoft Exchange.
Уорен сказав, що суб’єкти загрози використовують першу веб-оболонку для завантаження додаткової веб -оболонки у віддалено доступну папку та два виконуваних файли до папок C: \ Windows \ System32, перерахованих нижче:
C: \ Windows \ System32 \ createhidetask.exe
C: \ Windows \ System32 \ ApplicationUpdate.exe
Якщо два виконуваних файли неможливо знайти, у наступній папці буде створено іншу веб-оболонку у вигляді файлів ASPX з випадковим ім’ям.
C: \ Program Files \ Microsoft \ Exchange Server \ V15 \ FrontEnd \ HttpProxy \ owa \ auth \
Зловмисники використовують другу веб -оболонку для запуску “createhidetask.exe”, який створює заплановане завдання з назвою “PowerManager”, яке запускає виконуваний файл “ApplicationUpdate.exe” щодня о 1 годині ночі.
Уорен сказав, що виконуваний файл ApplicationUpdate.exe – це спеціальний завантажувач .NET, який використовується як бекдор.
“ApplicationUpdate.exe – це завантажувач .NET, який отримує інший двійковий файл .NET з віддаленого сервера (який наразі обслуговує доброякісне корисне навантаження)”, – пояснив Уорен.
Незважаючи на те, що поточне корисне навантаження не несе ніякої загрози, очікується, що його буде замінено шкідливим корисним навантаженням, як тільки достатньо серверів буде скомпрометовано.
Розвідувальна компанія з кібербезпеки Bad Packets повідомила, що наразі вона спостерігає, як суб’єкти загроз шукають вразливі пристрої ProxyShell з IP -адрес у США, Ірані та Нідерландах.
Відомі адреси:
- 3.15.221.32;
- 194.147.142.0/24.
У BadPackets також сказали, що домени електронної пошти, які використовуються при скануванні, були з @abc.com та @1337.com, як показано нижче.
Тепер, коли хакери активно використовують вразливі сервери Microsoft Exchange, дослідники безпеки радять адміністраторам серверів виконувати запити Azure Sentinel, щоб перевірити, чи їх пристрої були відскановані.
W3CIISLog
| де csUriStem == “/autodiscover/autodiscover.json”
| де csUriQuery має “PowerShell” | де csMethod == “POST”
Тим, хто не оновлював свій сервер Microsoft Exchange, настійно рекомендується зробити це негайно. Оскільки попередні атаки ProxyLogon призвели до застосування шкідливих програм та крадіжок даних на відкритих серверах, ми, ймовірно, побачимо подібні атаки за допомогою ProxyShell.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Телефонне шахрайство: як розпізнати обман та викрити зловмисника?
Платіжна безпека: як вберегтися від шахраїв під час користування онлайн-банкінгом?
Як автоматично пересилати певні електронні листи в Gmail? – ІНСТРУКЦІЯ
Що таке Google Tensor і як він покращить майбутні смартфони? ОГЛЯД
Деякі телефони на Android втратять доступ до Gmail і YouTube і чим це Вам загрожує
До речі, Apple скануватиме фото в iPhone користувачів, щоб захистити дітей від насильства. Про це заявив сам американський технологічний гігант.
Виявлено спосіб, що дозволяє користувачам Telegram для Mac назавжди зберігати повідомлення, які повинні самі знищуватися і переглядати їх без відома відправника. Уразливість виправити неможливо.
Зверніть увагу, шахрайську схему з виманювання даних платіжних карт українців вигадали зловмисники, створивши фейкову сторінку у Facebook та фейковий сайт ТСН. Довірливих користувачів змушували вказувати дані своїх платіжних карток.
Окрім цього, Windows 11 може вийти раніше, ніж Ви думали. Майкрософт була щедрою з інформацією про Windows 11, за значним винятком є дата виходу. Однак компанія могла ненароком відкрити вікно випуску за жовтень, завдяки деяким документам підтримки Intel та Microsoft, виявленим BleepingComputer.
Також якщо Ви регулярно пересилаєте повідомлення на інший обліковий запис електронної пошти, чому б не автоматизувати це завдання? Використовуючи зручну функцію фільтрування в Gmail, Ви можете автоматично пересилати певні електронні листи, коли вони потраплять у Вашу поштову скриньку.
