Эксперты предупреждают: злоумышленники атакуют серверы Microsoft Exchange, используя уязвимости ProxyShell, и устанавливают на них бэкдоры для последующего доступа.
Напомню, что об уязвимостях, которые получили общее название ProxyShell, недавно рассказали на конференции Black Hat. ProxyShell объединяет в себе три уязвимости, которые позволяют добиться удаленного выполнения кода без аутентификации на серверах Microsoft Exchange. Эти уязвимости эксплуатируют Microsoft Exchange Client Access Service (CAS), работающий на порту 443.
- CVE-2021-34473: Path Confusion без аутентификации, ведущий к обходу ACL (исправлено в апреле в KB5001779);
- CVE-2021-34523: повышение привилегий в Exchange PowerShell Backend (исправлено в апреле в KB5001779);
- CVE-2021-31207: запись произвольных файлов после аутентификации, что ведет к удаленному выполнению кода (исправлено в мае в KB5003435).
Изначально эти проблемы обнаружили исследователи Devcore, чья команда получила приз в размере 200 000 долларов за их использование на апрельском хакерском соревновании Pwn2Own 2021. Теперь же специалисты Devcore выступили с докладом на Black Hat и рассказали об уязвимостях Microsoft Exchange более подробно, после чего что хакеры начали сканировать интернет в поисках уязвимых систем.
Теперь известные ИБ-исследователи Кевин Бомонт и Рич Уоррен пишут в Twitter, что злоумышленники уже перешли от сканирований к активным действиям и атаковали их ханипоты Microsoft Exchange с помощью ProxyShell.
Started to see in the wild exploit attempts against our honeypot infrastructure for the Exchange ProxyShell vulnerabilities. This one dropped a c# aspx webshell in the /aspnet_client/ directory: pic.twitter.com/XbZfmQQNhY
— Rich Warren (@buffaloverflow) August 12, 2021
Exchange ProxyShell exploitation wave has started, looks like some degree of spraying. Random shell names for access later. Uses foo name from @orange_8361's initial talk.
— Kevin Beaumont (@GossiTheDog) August 12, 2021
В настоящее время с помощью ProxyShell злоумышленники внедряют на сервер веб-шелл размером 265 Кб по адресу c:\inetpub\wwwroot\aspnet_client\ (265 Кб — это минимальный размер файла, который может быть создан с помощью эксплоита для ProxyShell).
Издание Bleeping Computer сообщает, что такие веб-шеллы состоят из простого защищенного аутентификацией скрипта, который атакующие могут использовать для загрузки файлов на скомпрометированный сервер. Рич Уоррен добавляет, что злоумышленники используют первый веб-шелл для загрузки дополнительного веб-шелла в папку с удаленным доступом, а также два исполняемых файла в C:\Windows\System32: createhidetask.exe и ApplicationUpdate.exe.
Если эти исполняемые файлы не находятся, по адресу C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\ будет создан другой веб-шелл в виде файлов ASPX со случайным именем.
Атакующие используют второй веб-шелл для запуска createhidetask.exe, который создает запланированную задачу с именем PowerManager, а та запускает исполняемый файл ApplicationUpdate.exe ежедневно в 1 час ночи.
Уоррен пишет, что ApplicationUpdate.exe — это кастомный загрузчик .NET, используемый в качестве бэкдора. Это загрузчик загружает другой бинарник .NET с удаленного сервера (который в настоящее время обслуживает полезную нагрузку). И хотя текущий пейлоад безопасен, ожидается, что он будет заменен на вредоносный, как только атакующие скомпрометируют достаточное количество серверов.