Злоумышленники продолжают атаки на уязвимые перед багами ProxyLogon серверы Microsoft Exchange.

В настоящее время по меньшей мере десять хак-групп эксплуатируют ошибки ProxyLogon для установки бэкдоров на серверы Exchange по всему миру. По разным оценкам, количество пострадавших компаний и организаций уже достигло 30 000-100 000, и их число постоянно продолжает расти, равно как и количество атакующих.

Хуже того, по подсчетам экспертов Palo Alto Networks и Microsoft, в сети по-прежнему доступны около 80 000 уязвимых серверов Exchange, которые можно скомпрометировать.

В начале марта 2021 года инженеры Microsoft выпустили внеплановые патчи для четырех уязвимостей в почтовом сервере Exchange, которым исследователи дали общее название ProxyLogon (CVE-2021-26855CVE-2021-26857CVE-2021-26858 и CVE-2021-27065).

Эти уязвимости можно объединить в цепочку, а их эксплуатация позволит злоумышленнику пройти аутентификацию на сервере Exchange, получить права администратора, установить малварь и похитить данные.

Шифровальщик

Как сообщает создатель ID-Ransomware Майкл Гиллеспи, на уязвимые серверы уже устанавливают не только веб-шеллы и майнеры, но и шифровальщики. Пока таких пострадавших насчитывается всего шесть (в Австрии, Австралии, Канаде, Дании и США).

Шифровальщику дали имя DearCry и, похоже, он атакует преимущественно небольшие компании. Во всяком случае, такую информацию сообщает в своем Twitter MalwareHunterTeam.

Известно, что малварь добавляет к файлам на сервере дополнительное  расширение .CRYPT и требует выкуп в размере от 50 000 до 110 000 долларов. При этом издание The Record пишет, что по оценкам ИБ-экспертов, этот вымогатель явно был создан в спешке и не имеет отношения к крупным и хорошо известным хак-группам.

Новые эксплоиты

Как мы писали на прошлой неделе, с GitHub был удален полноценный PoC-эксплоит для ProxyLogon, созданный независимым ИБ-исследователем из Вьетнама. Удаление инструмента вызвало немало споров в сообществе, а исследователь заявлял, что эксплоит был преднамеренно создан с ошибками. Однако его все равно удалили, а в компании заявили, нужно «помнить о необходимости сохранения безопасности более широкой экосистемы». То есть публиковать в открытом доступе эксплоит для подобной проблемы, когда уязвимо огромное количество серверов, – не слишком хорошая идея.

Как теперь пишет издание Bleeping Computer, в минувшие выходные другой неназванный исследователь опубликовал в сети еще один PoC-эксплоит для ProxyLogon. Это решение требует лишь небольшой модификации для использования с целью установки веб-шеллов.

Аналитик CERT/CC Уилл Дорман сообщил журналистам, что данный эксплоит требует минимальных изменений, и теперь ProxyLogon «доступен даже для скрипткидди».

На скриншотах ниже видно, как  Дорман использовал эксплоит против сервера Microsoft Exchange, удаленно установил на него веб-шелл и выполнил команду whoami; доставил веб-шелл teset11.aspx в определенное место на сервере.

Оставить мнение