Эксперты предупреждают: злоумышленники атакуют серверы Microsoft Exchange, используя уязвимости ProxyShell, и устанавливают на них бэкдоры для последующего доступа.

Напомню, что об уязвимостях, которые получили общее название ProxyShell, недавно рассказали на конференции  Black Hat. ProxyShell объединяет в себе три уязвимости, которые позволяют добиться удаленного выполнения кода без аутентификации на серверах Microsoft Exchange. Эти уязвимости эксплуатируют Microsoft Exchange Client Access Service (CAS), работающий на порту 443.

  • CVE-2021-34473: Path Confusion без аутентификации, ведущий к обходу ACL (исправлено в апреле в KB5001779);
  • CVE-2021-34523: повышение привилегий в Exchange PowerShell Backend (исправлено в апреле в KB5001779);
  • CVE-2021-31207: запись произвольных файлов после аутентификации, что ведет к удаленному выполнению кода (исправлено в мае в KB5003435).

Изначально эти проблемы обнаружили исследователи Devcore, чья команда получила приз в размере 200 000 долларов за их использование на апрельском хакерском соревновании Pwn2Own 2021. Теперь же специалисты Devcore выступили с докладом на Black Hat и рассказали об уязвимостях Microsoft Exchange более подробно, после чего что хакеры начали сканировать интернет в поисках уязвимых систем.

Теперь известные ИБ-исследователи Кевин Бомонт и Рич Уоррен пишут в Twitter, что злоумышленники уже перешли от сканирований к активным действиям и атаковали их ханипоты Microsoft Exchange с помощью ProxyShell.

 

В настоящее время с помощью ProxyShell злоумышленники внедряют на сервер веб-шелл размером 265 Кб по адресу c:\inetpub\wwwroot\aspnet_client\ (265 Кб — это минимальный размер файла, который может быть создан с помощью эксплоита для ProxyShell).

Издание Bleeping Computer сообщает, что такие веб-шеллы состоят из простого защищенного аутентификацией скрипта, который атакующие могут использовать для загрузки файлов на скомпрометированный сервер. Рич Уоррен добавляет, что злоумышленники используют первый веб-шелл для загрузки дополнительного веб-шелла в папку с удаленным доступом, а также два исполняемых файла в C:\Windows\System32: createhidetask.exe и ApplicationUpdate.exe.

Если эти исполняемые файлы не находятся, по адресу C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\ будет создан другой веб-шелл в виде файлов ASPX со случайным именем.

Атакующие используют второй веб-шелл для запуска createhidetask.exe, который создает запланированную задачу с именем PowerManager, а та запускает исполняемый файл ApplicationUpdate.exe ежедневно в 1 час ночи.

Уоррен пишет, что ApplicationUpdate.exe — это кастомный загрузчик .NET, используемый в качестве бэкдора. Это загрузчик загружает другой бинарник .NET с удаленного сервера (который в настоящее время обслуживает полезную нагрузку). И хотя текущий пейлоад безопасен, ожидается, что он будет заменен на вредоносный, как только атакующие скомпрометируют достаточное количество серверов.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии