Злоумышленники продолжают атаки на уязвимые перед багами ProxyLogon серверы Microsoft Exchange.
В настоящее время по меньшей мере десять хак-групп эксплуатируют ошибки ProxyLogon для установки бэкдоров на серверы Exchange по всему миру. По разным оценкам, количество пострадавших компаний и организаций уже достигло 30 000-100 000, и их число постоянно продолжает расти, равно как и количество атакующих.
Хуже того, по подсчетам экспертов Palo Alto Networks и Microsoft, в сети по-прежнему доступны около 80 000 уязвимых серверов Exchange, которые можно скомпрометировать.
В начале марта 2021 года инженеры Microsoft выпустили внеплановые патчи для четырех уязвимостей в почтовом сервере Exchange, которым исследователи дали общее название ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065).
Эти уязвимости можно объединить в цепочку, а их эксплуатация позволит злоумышленнику пройти аутентификацию на сервере Exchange, получить права администратора, установить малварь и похитить данные.
Шифровальщик
Как сообщает создатель ID-Ransomware Майкл Гиллеспи, на уязвимые серверы уже устанавливают не только веб-шеллы и майнеры, но и шифровальщики. Пока таких пострадавших насчитывается всего шесть (в Австрии, Австралии, Канаде, Дании и США).
? #Exchange Servers Possibly Hit With #Ransomware ?
— Michael Gillespie (@demonslay335) March 11, 2021
ID Ransomware is getting sudden swarm of submissions with ".CRYPT" and filemarker "DEARCRY!" coming from IPs of Exchange servers from US, CA, AU on quick look. pic.twitter.com/wPCu2v6kVl
Шифровальщику дали имя DearCry и, похоже, он атакует преимущественно небольшие компании. Во всяком случае, такую информацию сообщает в своем Twitter MalwareHunterTeam.
Also, not yet seen any new samples of this DearCry ransomware after the 3 samples that were uploaded to VT on the 9th (hashes of those samples already made public yesterday here: https://t.co/LKHhQL9MZM).
— MalwareHunterTeam (@malwrhunterteam) March 12, 2021
Известно, что малварь добавляет к файлам на сервере дополнительное расширение .CRYPT и требует выкуп в размере от 50 000 до 110 000 долларов. При этом издание The Record пишет, что по оценкам ИБ-экспертов, этот вымогатель явно был создан в спешке и не имеет отношения к крупным и хорошо известным хак-группам.
Новые эксплоиты
Как мы писали на прошлой неделе, с GitHub был удален полноценный PoC-эксплоит для ProxyLogon, созданный независимым ИБ-исследователем из Вьетнама. Удаление инструмента вызвало немало споров в сообществе, а исследователь заявлял, что эксплоит был преднамеренно создан с ошибками. Однако его все равно удалили, а в компании заявили, нужно «помнить о необходимости сохранения безопасности более широкой экосистемы». То есть публиковать в открытом доступе эксплоит для подобной проблемы, когда уязвимо огромное количество серверов, – не слишком хорошая идея.
Как теперь пишет издание Bleeping Computer, в минувшие выходные другой неназванный исследователь опубликовал в сети еще один PoC-эксплоит для ProxyLogon. Это решение требует лишь небольшой модификации для использования с целью установки веб-шеллов.
Аналитик CERT/CC Уилл Дорман сообщил журналистам, что данный эксплоит требует минимальных изменений, и теперь ProxyLogon «доступен даже для скрипткидди».
На скриншотах ниже видно, как Дорман использовал эксплоит против сервера Microsoft Exchange, удаленно установил на него веб-шелл и выполнил команду whoami; доставил веб-шелл teset11.aspx в определенное место на сервере.
