Хаки Microsoft Exchange: как они появились и где мы сейчас находимся

отредактировано 6 сен Раздел: Уязвимости систем и приложений
Экстренные исправления для недавно обнаруженных критических уязвимостей в почтовом сервере Microsoft Exchange появились не сразу, и у организаций было мало времени на подготовку до начала массовой эксплуатации.

Ошибка, получившая название ProxyLogon, использовалась в дикой природе еще до того, как Microsoft получила отчет об уязвимости, что дало злоумышленникам двухмесячный старт для взлома целей до появления обновлений безопасности.

Уязвимые серверы являются привлекательной целью для широкого спектра групп. Злоумышленники из национальных государств, кибергруппы Ransomware и майнинг криптовалют уже использовали ProxyLogon.

С выпущенными исправлениями и появлением кода эксплойта PoC в сети, тысячи серверов Microsoft Exchange по всему миру продолжают оставаться уязвимыми, а количество атак по-прежнему вызывает тревогу.

Обнаружена угроза ProxyLogon
10 декабря 2020 года исследователь DEVCORE Orange Tsai обнаружил CVE-2021-26855, критическую ошибку подделки запросов на стороне сервера (SSRF), которая позволяет обходить аутентификацию в Microsoft Exchange.

DEVCORE назвал ошибку ProxyLogon, и в конце декабря Tsai нашел вторую (CVE-2021-27065), которую можно было использовать для удаленного выполнения кода.

5 января 2021 года исследователь отправил в Microsoft отчет вместе с эксплойтом, связывающим две уязвимости, чтобы доказать обоснованность своих выводов.



APT-группы имели преимущество в два месяца

В том же месяце компания Volexity по анализу угроз и реагированию на инциденты обнаружила атаки ProxyLogon, направленные на взлом сетей или кражу данных электронной почты.
Более тщательное изучение показало, что «операции кибершпионажа с использованием SSRF-уязвимости CVE-2021-26855 начались 3 января 2021 года», за два дня до того, как DEVCORE отправила отчет в Microsoft.

В январе несколько компаний, занимающихся кибербезопасностью, обнаружили атаки на локальные серверы Exchange в клиентских средах с использованием уязвимостей нулевого дня.

В том же месяце была взломана сеть, по крайней мере, одного клиента FireEye, и злоумышленник создал веб-оболочки для постоянного доступа и удаленного выполнения кода, а деятельность «предполагала использование CVE-2021-26858», - заявили в компании.

Установка веб-оболочек (файлов ASPX) - это тоже то, что видел Volexity, с последующим сбросом учетных данных, добавлением учетных записей пользователей, кражей копий базы данных Active Directory (NTDS.DIT) и боковым перемещением по сети.

Также в январе датская компания по реагированию на инциденты Dubex исследовала активность на серверах Exchange, которые использовали эксплойт нулевого дня (CVE-2021-26857) для записи веб-шеллов на диск, указав набор из трех файлов ASPX среди индикаторов взлома (IoC). .

2 марта Microsoft выпустила обновления для Exchange Server и сообщила о «множестве эксплойтов нулевого дня, используемых для атак на локальные версии Microsoft Exchange Server в ограниченных и целевых атаках».

CVE-2021-26855, SSRF до аутентификации
CVE-2021-26857, небезопасная десериализация, приводящая к эскалации привилегий до уровня SYSTEM
CVE-2021-26858, запись файла после аутентификации
CVE-2021-27065, запись файла после аутентификации

ESET сообщила, что кроме Hafnium, другие участники - Tick, LuckyMouse, Calypso, Winnti, Websiic - многие из которых связаны с Китаем, активно использовали их как минимум с 28 февраля, и рекомендовали организациям искать подозрительные файлы ASPX.
«Это говорит о том, что несколько злоумышленников получили доступ к деталям уязвимостей до выпуска исправления, что означает, что мы можем исключить возможность того, что они создали эксплойт путем обратного проектирования обновлений Microsoft» - ESET

Злоумышленник использовал эксплойт DEVCORE

Один из эксплойтов, использовавшихся до появления исправлений, - это та же цепочка, которую DEVCORE отправил в Microsoft 5 января в рамках ответственного раскрытия информации.

DEVCORE подтверждает это в обновлении на веб-сайте ProxyLogon, отмечая, что он начал расследование после того, как Volexity сообщил об активной эксплуатации ошибки SSRF.

Согласно отчету Wall Street Journal, Microsoft в настоящее время расследует, не произошла ли утечка информации одним из ее партнеров, имевших доступ к информации, преднамеренно или случайно.

Широкий спектр злоумышленников

После выхода официальных исправлений уязвимые серверы Microsoft Exchange, напрямую открытые в Интернете, стали еще более активно подвергаться атакам.

ESET видела, что более 10 групп APT бросились атаковать непропатченные устройства. Многие из них занимались кибершпионажем, и в этот список входят Mikroceen и Tonto Team, но не все.

Исследователи заметили активность группы, которую они называют «Opera» Cobalt Strike, которая использовала уязвимости Microsoft Exchange для установки продукта для тестирования на проникновение Cobalt Strike, который является обычным для некоторых известных кибергрупп Ransomware.

В другом случае ESET заметил, что злоумышленник сбрасывает веб-оболочки, чтобы «установить так называемые бэкдоры IIS». Активность, приписываемая ботнету DLTMiner [1, 2], занимающемуся майнингом криптовалют, была замечена на серверах, которые были атакованы с помощью уязвимостей ProxyLogon.

PoC и инструменты атаки
С 10 марта в сети начал появляться PoC-эксплойт для массово эксплуатируемых уязвимостей Exchange. Первым вариантом был эксплойт удаленного выполнения кода с ошибками, который Microsoft быстро извлек из GitHub, чтобы предотвратить злоупотребления в еще более крупных масштабах.

На выходных появился новый PoC ProxyLogon, увеличивающий шансы даже неопытных злоумышленников атаковать уязвимые серверы Exchange, которых, вероятно, исчисляются тысячами.

Кроме того, существует множество информации для воспроизведения эксплойта ProxyLogon путем реверс-инжиниринга официальных исправлений от Microsoft. Фирма по кибербезопасности Praetorian опубликовала блог с полной технической информацией о создании работающего сквозного эксплойта.
SophosLabs создал инструмент под названием metasploit_gather_exchange, который может извлекать все содержимое почтового ящика в виде файла PST. Он не помогает взламывать серверы Exchange, но предназначен в качестве инструмента после эксплуатации для участия в тестах на проникновение.

Даже если серверы не обращены к общедоступному Интернету, компании должны обновить их, чтобы защитить себя от субъектов, которые могут находиться в локальной сети.

Вице-президент Mandiant по анализу, Джон Халтквист, ожидает, что в ближайшее время кибергруппы будут еще больше использовать уязвимости ProxyLogon, которые могут найти вектор атаки «особенно привлекательным», поскольку он является «эффективным средством получения доступа администратора домена».

«Этот доступ позволяет им развертывать шифрование на предприятии.», - Джон Халтквист.

Инструменты и информация

CISA опубликовала семь отчетов об анализе вредоносного ПО, в которых указаны меры по устранению уязвимостей Microsoft Exchange Server. Каждый из них предоставляет подробную информацию о веб-оболочке, используемой в атаках, чтобы дать злоумышленнику удаленное администрирование системы.

Администраторы также могут использовать сценарий PowerShell, чтобы проверить, не были ли серверы Exchange взломаны с помощью уязвимостей ProxyLogon. Он автоматизирует набор команд, которые также можно запускать вручную для тестирования одного или всех локальных серверов.

https://www.bleepingcomputer.com/news/security/the-microsoft-exchange-hacks-how-they-started-and-where-we-are/

Этот файл предназначен для использования с nmap. Он определяет, уязвим ли указанный URL-адрес для уязвимости SSRF сервера Exchange (CVE-2021-26855). Для получения информации об использовании, пожалуйста, прочтите верхнюю часть файла.
---
-- @usage
-- nmap -p <port> --script http-vuln-cve2021-26855 <target>
--
-- @output
-- PORT STATE SERVICE
-- 443/tcp open https
-- | http-vuln-cve2021-26855:
-- | VULNERABLE
-- | Exchange Server SSRF Vulnerability
-- | State: VULNERABLE
-- | IDs: CVE:CVE-2021-26855
-- |
-- | Disclosure date: 2021-03-02
-- | References:
-- | http://aka.ms/exchangevulns
--
-- @args http-vuln-cve2021-26855.method The HTTP method for the request. The default method is "GET".
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.

Комментарии

  • отредактировано 30 июл PM
    Количество атак Microsoft Exchange увеличивается, а WannaCry перезапускается

    Недавно исправленные уязвимости в Microsoft Exchange вызвали новый интерес у киберпреступников, которые увеличили количество атак, сосредоточенных на этом конкретном векторе.

    В то время как количество атак программ-вымогателей увеличилось за последние шесть месяцев,
    компания Check Point, занимающаяся кибербезопасностью, на прошлой неделе заметила всплеск инцидентов, нацеленных на серверы Microsoft Exchange, уязвимые для так называемых критических ошибок ProxyLogon.

    Даже несмотря на то, что исправления продвигались быстрыми темпами, компания отметила, что количество попыток атак по всему миру утроилось, насчитывая десятки тысяч.

    Microsoft Exchange по-прежнему привлекателен

    По данным Microsoft, 14 марта было около 82 000 уязвимых серверов Exchange. Примерно через неделю это число значительно упало до примерно 30 000 уязвимых машин, согласно данным RiskIQ.

    Данные телеметрии Check Point на прошлой неделе показали более 50 000 попыток атак по всему миру, большинство из которых были нацелены на организации в правительственном / военном, производственном и банковском / финансовом секторах.

    Почти половина попыток использования эксплойтов произошла в США (49%), что на сегодняшний день является наиболее привлекательным регионом по сравнению с другими странами, где Check Point зарегистрировал гораздо меньше инцидентов (Великобритания - 5%, Нидерланды и Германия - по 4%).

    Атаки программ-вымогателей растут, WannaCry все еще остается проблемой

    Компания зафиксировала рост атак программ-вымогателей на 57% за последние шесть месяцев на глобальном уровне. Более тревожным является постоянный ежемесячный рост на 9% с начала года.

    Помимо наблюдаемых обычных штаммов вымогателей (Maze, Ryuk, REvil), компания отмечает рост на 53% числа организаций, пострадавших от вируса-вымогателя WannaCry.

    «Фактически, CPR обнаружил, что в марте 2021 года пострадавших организаций в 40 раз больше по сравнению с октябрем 2020 года. Новые образцы по-прежнему используют эксплойт EternalBlue для распространения - исправления для которого доступны уже более 4 лет» - Check Point

    Причина такого большого числа в том, что WannaCry подвержен заражению червями, а тысячи систем по-прежнему уязвимы для EternalBlue и доступны через общедоступный Интернет.

    Check Point наблюдала ту же тенденцию, начиная с декабря 2020 года, и в марте 2021 года количество атак продолжало увеличиваться более чем на 12000.

    https://www.bleepingcomputer.com/news/security/microsoft-exchange-attacks-increase-while-wannacry-gets-a-restart/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 6 сен PM
    Серверы Microsoft Exchange проверены на уязвимость ProxyShell, исправьте сейчас

    Злоумышленники теперь активно сканируют уязвимости удаленного выполнения кода Microsoft Exchange ProxyShell после того, как технические подробности были опубликованы на конференции Black Hat.

    Прежде чем мы перейдем к активному сканированию этих уязвимостей, важно понять, как они были обнаружены.

    ProxyShell - это название трех уязвимостей, которые при объединении в цепочку выполняют удаленное выполнение кода без проверки подлинности на серверах Microsoft Exchange.

    Эти связанные уязвимости используются удаленно через службу клиентского доступа (CAS) Microsoft Exchange, работающую на порту 443 в IIS.

    В атаках ProxyShell используются три связанных уязвимости:
    CVE-2021-34473 - Pre-auth Path Confusion leads to ACL Bypass (исправлено в апреле KB5001779)
        CVE-2021-34523 - Повышение привилегий для серверной части Exchange PowerShell (исправлено в апреле, KB5001779)
        CVE-2021-31207 - Запись произвольного файла после авторизации приводит к RCE (исправлено в мае KB5003435)
    

    Как ни странно, хотя и CVE-2021-34473, и CVE-2021-34523 были впервые раскрыты в июле, на самом деле они были незаметно исправлены в апрельском накопительном обновлении Microsoft Exchange KB5001779.

    Уязвимости были обнаружены главным исследователем безопасности Devcore Orange Tsai, чья команда получила приз в размере 200000 долларов за их использование в апрельском хакерском конкурсе Pwn2Own 2021.

    В четверг Orange Tsai выступил в Black Hat с докладом о недавних уязвимостях Microsoft Exchange, которые он обнаружил при атаке на поверхность атаки Microsoft Exchange Client Access Service (CAS).

    В рамках выступления Orange Tsai объяснил, что один из компонентов цепочки атак ProxyShell нацелен на службу автообнаружения Microsoft Exchange.

    Microsoft представила службу автообнаружения, чтобы предоставить почтовому клиенту простой способ автоматической настройки с минимальным вмешательством со стороны пользователя.

    tsai-slide.jpg

    После просмотра выступления Orange Tsai исследователи безопасности PeterJson и Jang опубликовали статью с технической информацией о том, как они могут успешно воспроизвести эксплойт ProxyShell.

    Злоумышленники сканируют уязвимые серверы Exchange

    На этой неделе исследователь безопасности Кевин Бомонт написал в Твиттере, что злоумышленник проверяет его ловушку Microsoft Exchange на серверную службу автообнаружения.

    Хотя эти первоначальные попытки оказались безуспешными, вчера вечером, после того, как была опубликована более подробная информация об уязвимости, злоумышленники изменили свои сканы, чтобы использовать новый URL-адрес автообнаружения,

    По новому URL-адресу злоумышленники успешно обнаружили уязвимую систему, которая запускает компиляцию веб-приложения ASP.NET.

    Jang сказал, что доступ к URL-адресу заставит рабочий процесс ASP.NET (w3wp.exe) скомпилировать веб-приложение

    Теперь, когда злоумышленники активно ищут уязвимые серверы Microsoft Exchange, Бомонт советует администраторам использовать Azure Sentinel для проверки журналов IIS на наличие строк «/autodiscover/autodiscover.json» или «/ mapi / nspi /».

    Если в результатах указан целевой URL-адрес автообнаружения, злоумышленники просканировали ваш сервер на предмет уязвимости.

    Злоумышленники активно пытаются использовать эту уязвимость, но пока безуспешно. Однако успешная эксплуатация в дикой природе - это лишь вопрос времени.

    Настоятельно рекомендуется, чтобы администраторы Microsoft Exchange установили последние накопительные обновления, чтобы они были защищены от этих уязвимостей.

    https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-scanned-for-proxyshell-vulnerability-patch-now/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Lemon Duck расправляет крылья: участники атакуют серверы Microsoft Exchange, внедряют новые TTP

    С апреля 2021 года Cisco Talos наблюдала за обновленной инфраструктурой и новыми компонентами, связанными с ботнетом для майнинга криптовалюты Lemon Duck, который нацелен на непропатченные серверы Microsoft Exchange и пытается загружать и выполнять полезные данные для маяков Cobalt Strike DNS. Это действие отражает обновленные тактики, методы и процедуры (ДТС), связанные с этим субъектом угрозы. После того, как 2 марта было обнародовано несколько уязвимостей Microsoft Exchange Server нулевого дня, Cisco Talos и несколько других исследователей безопасности начали наблюдать за различными субъектами угроз, включая Lemon Duck, используя эти уязвимости для первоначального использования до того, как были выпущены исправления безопасности. 25 марта Microsoft выпустила отчет, в котором подчеркивается, что Lemon Duck нацелился на серверы Exchange для установки вредоносного ПО для майнинга криптовалюты и загрузчика вредоносных программ, который использовался для доставки вторичных вредоносных программ, таких как кражи информации. Мы также обнаружили, что субъекты Lemon Duck генерируют поддельные домены на восточноазиатских доменах верхнего уровня (TLD) для маскировки соединений со своим законным доменом C2, по крайней мере, с февраля 2020 года, подчеркнув еще одну попытку повысить эффективность своих операций. Ниже мы расскажем об изменениях TTP, используемых Lemon Duck в недавних кампаниях, поскольку они относятся к различным этапам этих атак.

    https://blog.talosintelligence.com/2021/05/lemon-duck-spreads-wings.html
    https://chklst.ru/discussion/1896/lemon-duck-raspravlyaet-krylya-uchastniki-atakuyut-servery-microsoft-exchange-vnedryayut-novye-ttp#latest
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Ботнет-бэкдоры на серверах Microsoft Exchange, добывают криптовалюту
    Непропатченные серверы Microsoft Exchange становятся мишенью для ботнета Prometei и добавляются в армию его операторов ботов для майнинга криптовалюты Monero (XMR).

    Это модульное вредоносное ПО может заразить как системы Windows, так и Linux, и впервые оно было обнаружено в прошлом году при использовании эксплойта EternalBlue для распространения по скомпрометированным сетям и эксплуатации уязвимых компьютеров Windows.

    https://chklst.ru/discussion/1877/botnet-bekdory-na-serverah-microsoft-exchange-dobyvayut-kriptovalyutu#latest
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 14 авг PM
    Хакеры используют Microsoft Exchange для установки бэкдора с помощью эксплойтов ProxyShell

    Злоумышленники активно используют серверы Microsoft Exchange, используя уязвимость ProxyShell, чтобы установить бэкдоры для последующего доступа.

    ProxyShell - это название атаки, в которой используются три связанных уязвимости Microsoft Exchange для выполнения удаленного выполнения кода без проверки подлинности.

    Три уязвимости, перечисленные ниже, были обнаружены главным исследователем безопасности Devcore Оранж Цай, который связал их вместе, чтобы захватить сервер Microsoft Exchange в апрельском хакерском конкурсе Pwn2Own 2021.
    CVE-2021-34473 - Pre-auth Path Confusion leads to ACL Bypass (Patched in April by KB5001779)
    CVE-2021-34523 - Elevation of Privilege on Exchange PowerShell Backend (Patched in April by KB5001779)
    CVE-2021-31207 - Post-auth Arbitrary-File-Write leads to RCE (Patched in May by KB5003435)

    ProxyShell активно используется для установки веб-шеллов

    Сегодня Бомонт и исследователь уязвимостей NCC Group Уоррен раскрыли, что злоумышленники использовали Microsoft Exchange для установки веб-шеллов с помощью уязвимости ProxyShell.

    При эксплуатации Microsoft Exchange злоумышленники используют начальный URL-адрес, например:
    https: //Exchange-server/autodiscover/autodiscover.json? @ foo.com / mapi / nspi /? &Email=autodiscover/autodiscover.json%[email protected]

    В настоящее время эксплойт сбрасывает веб-оболочку размером 265 КБ в папку c: \ inetpub \ wwwroot \ aspnet_client \.

    265 КБ - это минимальный размер файлов, который может быть создан с помощью эксплойта ProxyShell.

    веб-оболочки состоят из простого защищенного аутентификацией сценария, который злоумышленники могут использовать для загрузки файлов на скомпрометированный сервер Microsoft Exchange.

    Уоррен сказал, что злоумышленники используют первую веб-оболочку для загрузки дополнительной веб-оболочки в папку с удаленным доступом и два исполняемых файла в папки C: \ Windows \ System32, перечисленные ниже:

    C: \ Windows \ System32 \ createhidetask.exe
    C: \ Windows \ System32 \ ApplicationUpdate.exe

    Если два исполняемых файла не могут быть найдены, в следующей папке будет создана другая веб-оболочка в виде файлов ASPX со случайным именем.

    C: \ Program Files \ Microsoft \ Exchange Server \ V15 \ FrontEnd \ HttpProxy \ owa \ auth \

    Злоумышленники используют вторую веб-оболочку для запуска createhidetask.exe, который создает запланированную задачу с именем PowerManager, которая запускает исполняемый файл ApplicationUpdate.exe в 1 час ночи каждый день.

    Уоррен объяснил, что исполняемый файл ApplicationUpdate.exe - это загрузчик .NET, используемый в качестве бэкдора.

    «ApplicationUpdate.exe - загружает другой двоичный файл .NET с удаленного сервера (который в настоящее время обслуживает полезную нагрузку)», - пояснил Уоррен.

    Хотя текущая полезная нагрузка неопасна, ожидается, что она будет заменена вредоносной полезной нагрузкой, как только будет скомпрометировано достаточное количество серверов.

    Компания Bad Packets, занимающаяся разведкой кибербезопасности, сообщила BleepingComputer, что в настоящее время они видят, что злоумышленники сканируют уязвимые устройства ProxyShell с IP-адресов в США, Иране и Нидерландах.

    https://www.bleepingcomputer.com/news/microsoft/hackers-now-backdoor-microsoft-exchange-using-proxyshell-exploits/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • CISA призывает администраторов срочно исправлять ошибки Exchange ProxyShell

    Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) выпустило первое предупреждение, помеченное как «срочное», предупреждающее администраторов о необходимости исправления локальных серверов Microsoft Exchange от активно используемых уязвимостей ProxyShell.

    «Злоумышленники в киберпространстве активно используют следующие уязвимости ProxyShell: CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207», - предупредила CISA в минувшие выходные.

    «CISA настоятельно призывает организации выявлять уязвимые системы в своих сетях и немедленно применять обновление безопасности Microsoft от мая 2021 года, которое устраняет все три уязвимости ProxyShell, для защиты от этих атак».

    Эти три уязвимости безопасности (исправленные в апреле и мае) были обнаружены исследователем безопасности Devcore Оранж Цай, который использовал их для взлома сервера Microsoft Exchange в апрельском хакерском конкурсе Pwn2Own 2021:
    CVE-2021-34473 - Pre-auth path confusion leads to ACL Bypass (Patched in April by KB5001779)
    CVE-2021-34523 - Elevation of privilege on Exchange PowerShell backend (Patched in April by KB5001779)
    CVE-2021-31207 - Post-auth Arbitrary-File-Write leads to RCE (Patched in May by KB5003435)

    Несмотря на то, что Microsoft полностью исправила ошибки ProxyShell в мае 2021 года, они не назначили идентификаторы CVE для трех уязвимостей безопасности до июля, что не позволило некоторым организациям, у которых были непропатченные серверы, обнаружить, что в их сетях есть уязвимые системы.

    После того, как недавно были раскрыты дополнительные технические подробности, как исследователи безопасности, так и злоумышленники смогли воспроизвести работающий эксплойт ProxyShell.

    Затем, как это произошло в марте, злоумышленники начали сканирование и взлом серверов Microsoft Exchange с использованием уязвимостей ProxyShell.

    После взлома непропатченных серверов Exchange злоумышленники сбрасывают веб-оболочки, которые позволяют им загружать и запускать вредоносные инструменты.

    Хотя вначале полезные нагрузки были безвредными, злоумышленники начали развертывать полезные нагрузки вымогателя LockFile

    Shodan также отслеживает десять из тысяч серверов Exchange, уязвимых для атак с использованием эксплойтов ProxyShell, большинство из которых расположены в США и Германии.

    https://www.bleepingcomputer.com/news/security/cisa-warns-admins-to-urgently-patch-exchange-proxyshell-bugs/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Microsoft: ошибки ProxyShell «могут быть использованы», исправляйте серверы прямо сейчас!

    Сегодня Microsoft наконец опубликовала руководство по активно эксплуатируемым уязвимостям ProxyShell, влияющим на несколько локальных версий Microsoft Exchange.

    ProxyShell - это набор из трех недостатков безопасности (исправленных в апреле и мае), обнаруженных исследователем безопасности Devcore Оранж Цай, который использовал их для взлома сервера Microsoft Exchange во время хакерского конкурса Pwn2Own 2021:
    CVE-2021-34473 - Pre-auth path confusion leads to ACL Bypass (Patched in April by KB5001779)
    CVE-2021-34523 - Elevation of privilege on Exchange PowerShell backend (Patched in April by KB5001779)
    CVE-2021-31207 - Post-auth Arbitrary-File-Write leads to RCE (Patched in May by KB5003435)

    https://www.bleepingcomputer.com/news/microsoft/microsoft-proxyshell-bugs-might-be-exploited-patch-servers-now/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 3 сен PM
    Программа-вымогатель Conti взламывает серверы Exchange с помощью эксплойтов ProxyShell


    кибергруппа Conti взламывает серверы Microsoft Exchange и взламывает корпоративные сети, используя недавно обнаруженные эксплойты уязвимости ProxyShell.

    ProxyShell - это название эксплойта, использующего три связанных уязвимости Microsoft Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207), которые позволяют удаленное выполнение кода без проверки подлинности на незащищенных уязвимых серверах.

    Эти три уязвимости были обнаружены Orange Tsai из Devcore, который использовал их в рамках хакерского конкурса Pwn2Own 2021.

    Хотя Microsoft полностью устранила эти уязвимости в мае 2021 года, недавно были опубликованы технические подробности использования уязвимостей, что позволило злоумышленникам начать использовать их в атаках.

    До сих пор мы видели, как злоумышленники использовали уязвимости ProxyShell для удаления веб-шеллов, бэкдоров и развертывания вымогателя LockFile.

    Conti теперь использует ProxyShell для взлома сетей

    На прошлой неделе компания Sophos участвовала в расследовании инцидента, когда операторы Conti зашифровала клиента.

    Проанализировав атаку, Sophos обнаружил, что злоумышленники изначально взломали сеть, используя недавно обнаруженные уязвимости Microsoft Exchange ProxyShell.

    Как и в большинстве недавних атак Microsoft Exchange, злоумышленники сначала сбрасывают веб-оболочки, используемые для выполнения команд, загрузки программного обеспечения и дальнейшей компрометации сервера.

    После того, как злоумышленники получили полный контроль над сервером, Sophos заметил, что они быстро прибегли к своей стандартной тактике, изложенной в недавно просочившемся учебном материале Conti.

    Эта процедура включает в себя получение списков администраторов домена и компьютеров, сброс LSASS для получения доступа к учетным данным администратора и распространение по сети на другие серверы.

    Когда злоумышленники скомпрометировали различные серверы, они установили несколько инструментов для обеспечения удаленного доступа к устройствам, например маяки AnyDesk и Cobalt Strike.

    sophos-conti-tools.jpg

    Зайдя в сеть, злоумышленники украли незашифрованные данные и загрузили их на сервер обмена файлами MEGA. Через пять дней они начали шифрование устройств в сети с сервера без антивирусной защиты, используя наблюдаемую команду:

    запустить C: \ x64.exe -m -net -size 10 -nomutex -p \\ [имя Active Directory компьютера] \ C $

    Этот конкретный случай выделялся скоростью и точностью, с которой группа провела атаку: от первоначального нарушения до кражи 1 ТБ данных потребовалось всего 48 часов.

    «В течение 48 часов после получения этого начального доступа злоумышленники извлекли около 1 терабайта данных. По прошествии пяти дней они развернули программу-вымогатель Conti на каждой машине в сети, специально нацелившись на отдельные сетевые ресурсы на каждом компьютере», - пояснил Sophos. в своем отчете.

    «В ходе вторжения филиалы Conti установили в сети не менее семи бэкдордов: две веб-оболочки, Cobalt Strike и четыре коммерческих инструмента удаленного доступа (AnyDesk, Atera, Splashtop и Remote Utilities)».

    «Веб-оболочки, установленные на ранней стадии, использовались в основном для начального доступа; Cobalt Strike и Any Desk были основными инструментами, которые они использовали до конца атаки».

    Обновите свои серверы Exchange прямо сейчас!

    При проведении атак с использованием ProxyShell злоумышленники нацелены на службу автообнаружения, отправляя следующие запросы:

    https: //Exchange-server/autodiscover/autodiscover.json? @ foo.com / mapi / nspi /? &Email=autodiscover/autodiscover.json%[email protected]

    Чтобы проверить, был ли выбран ваш сервер Exchange Server, вы можете изучить журналы IIS на предмет запросов к «/autodiscover/autodiscover.json» со странными или неизвестными электронными письмами.

    В случае с Conti, наблюдаемом Sophos, злоумышленники использовали электронное письмо от @ evil.corp, что должно легко выделить попытки эксплойта.

    Без сомнения, уязвимости ProxyShell в настоящее время используются широким кругом злоумышленников, и всем администраторам серверов Microsoft Exchange необходимо применять самые последние накопительные обновления, чтобы оставаться в безопасности.

    К сожалению, это приведет к простою почты по мере установки обновлений. Однако это намного лучше, чем простои и расходы, которые понесет успешная атака с выкупом.

    https://www.bleepingcomputer.com/news/security/conti-ransomware-now-hacking-exchange-servers-with-proxyshell-exploits/

    https://news.sophos.com/en-us/2021/09/03/conti-affiliates-use-proxyshell-exchange-exploit-in-ransomware-attacks/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Патч сейчас! Microsoft Exchange атакуют через ProxyShell

    В прошлую субботу Агентство по кибербезопасности и безопасности инфраструктуры выпустило срочное предупреждение о том, что злоумышленники активно используют три уязвимости Microsoft Exchange: CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207. Эти уязвимости можно объединить в цепочку для удаленного выполнения произвольного кода на уязвимой машине.

    Этот набор уязвимостей Exchange часто группируется под названием ProxyShell. Исправления были доступны в майских обновлениях безопасности 2021 года, выпущенных Microsoft. (Точнее, первые два были исправлены в апреле, а CVE-2021-31207 - в мае.)

    Цепочка атаки

    Проще говоря, эти три уязвимости могут быть объединены в цепочку, чтобы позволить удаленному злоумышленнику запустить код на непропатченном сервере. Злоумышленники используют их следующим образом:

    Используйте CVE-2021-31207, функцию безопасности Microsoft Exchange Server, позволяющую обходить уязвимости. Уязвимость позволяет удаленному пользователю обойти процесс аутентификации.
    Возьмите под свой контроль CVE-2021-34523, уязвимость Microsoft Exchange Server, связанная с повышением привилегий (EoP). Уязвимость позволяет пользователю повысить свои разрешения.
    Делайте плохие вещи с CVE-2021-34523, уязвимостью удаленного выполнения кода (RCE) Microsoft Exchange Server. Уязвимость позволяет аутентифицированному пользователю выполнять произвольный код в контексте SYSTEM и записывать произвольные файлы.

    ProxyShell

    The Record сообщает, что ProxyShell был использован для захвата около 2000 почтовых серверов Microsoft Exchange всего за два дня. Это может произойти только в том случае, если организации используют локальную версию Exchange, а системные администраторы не установили апрельские и майские исправления.

    Мы знаем, что есть много причин, по которым установка исправлений является сложной и часто медленной. Однако такое большое число вызывает удивление, учитывая, что уровень шума об уязвимостях Microsoft Exchange был высоким с марта. Хотя, возможно, он был заглушен другими тревожными криками о PrintNightmare, HiveNightmare, PetitPotam и многих других.

    Программы-вымогатели

    Несколько исследователей указали на группу программ-вымогателей под названием LockFile, которая объединяет ProxyShell с PetitPotam. Кевин Бомонт задокументировал, как его приманка Exchange обнаружила использование ProxyShell для установки веб-оболочки. Позже злоумышленник повторно посетил, чтобы инициировать постановку артефактов, связанных с программой-вымогателем LockFile. Тем, кто интересуется, как определить, уязвимы ли их серверы, и техническими подробностями об этапах этой атаки, мы настоятельно рекомендуем прочитать сообщение Кевина Бомонта.

    PetitPotam

    Прежде чем мы сможем указать, как ProxyShell может привести к полномасштабному заражению сетью вымогателями, мы должны рассказать вам больше о PetiPotam. PetitPotam позволяет злоумышленнику запустить атаку ретрансляции NTLM на контроллеры домена.

    PetitPotam использует функцию EfsRpcOpenFileRaw API удаленного протокола Microsoft Encrypting File System (MS-EFSRPC). MS-EFSRPC используется для операций обслуживания и управления зашифрованными данными, которые хранятся удаленно и доступны по сети. Подтверждение концепции PetitPotam (PoC) принимает форму атаки «манипулятор посередине» (MitM) на систему аутентификации Microsoft NTLM. Целевой компьютер вынужден инициировать процедуру аутентификации и передавать свои данные аутентификации через NTLM.

    Поскольку атака PetitPotam основана не на уязвимости, а использует законную функцию не предназначенным для этого способом, будет сложно исправить эту атаку, не «взламывая». Кроме того, остановка службы шифрованной файловой системы (EFS) не предотвращает использование этой техники. (Подробнее о смягчении последствий см. В нашем сообщении о PetitPotam.)

    LockFile

    Атаки LockFile были зарегистрированы в основном в США и Азии и были сосредоточены на организациях в сфере финансовых услуг, производства, инжиниринга, юриспруденции, деловых услуг, путешествий и туризма. Symantec указала в своем блоге, что записка о выкупе от программы-вымогателя LockFile очень похожа на записку, используемую группой вымогателей LockBit, и что они ссылаются на Conti в своем адресе электронной почты. Это может означать, что члены этих кибергрупп начали новую операцию, или просто быть еще одним показателем того, как все эти группы связаны между собой и делятся ресурсами и тактикой.
    Совет

    CISA настоятельно рекомендует организациям выявлять уязвимые системы в своих сетях и немедленно применять обновление безопасности Microsoft от мая 2021 года, устраняющее все три уязвимости ProxyShell, для защиты от этих атак.

    https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/08/patch-now-microsoft-exchange-attacks-target-proxyshell-vulnerabilities/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.