Летнее сканирование
Киберзлоумышленники активно эксплуатируют набор уязвимостей под общим названием ProxyShell в Microsoft Exchange для установки бэкдоров.
Атака ProxyShell объединяет серию «багов» в серверах Microsoft Exchange, что позволяет злоумышленникам производить запуск произвольного кода удалённо без какой-либо авторизации на сервере.
Используются три уязвимости: CVE-2021-34473 (ошибка несоответствия пути, позволяет обходить защиту ACL и запускать произвольный код), CVE-2021-34523 (ошибка повышения привилегий) и CVE-2021-31207 (уязвимость, допускающая запись произвольного файла и, как следствие, запуск произвольного кода).
Все они были исправлены в апреле-мае 2021 г.
Недавно выявленная уязвимость ProxyShell в Microsoft Exchange уже активно используется злоумышленниками для установки бэкдоров
Изначально эти уязвимости были обнаружены экспертом по имени Ориндж Цаи (Orange Tsai), который представил экспериментальный эксплойт к ним на конференции Black Hat 2021. Этот эксплойт позволяет осуществлять подмену запроса к серверу, используя функцию Microsoft Exchange AutoDiscover.
Двое других специалистов по кибербезопасности впоследствии опубликовали более подробное исследование уязвимости и способов её эксплуатации. Вскоре после этого в Сети началось активное сканирование уязвимых серверов Microsoft Exchange.
Эксперты Кевин Бомон (Kevin Beaumont) и Рич Уоррен (Rich Warren) на днях сообщили, что на выставленных ими honeypot-ловушках наблюдается крайне высокая интенсивность атак. Злоумышленники пытаются расставлять на уязвимых серверах (в том числе, ловушках) вебшеллы для того, чтобы обеспечить себе возможность для последующих вторжений.
Раздача вебшеллов
Изученные на данный момент скрипты злоумышленников могут быть использованы для подгрузки файлов на скомпрометированные серверы Exchange. Уоррен также отметил, что через установленный вебшелл может загружаться ещё один вебшелл и два исполняемых файла (C:Windows\System32\createhidetask.exe и C:\Windows\System32\ApplicationUpdate.exe).
Второй вебшелл используется для запуска файла createhidetask.exe, который создаёт запланированную задачу под названием PowerManager. Та ежедневно в час ночи запускает ApplicationUpdate.exe — загрузчик .NET, который используется как бэкдор и загружает ещё один двоичный файл .NET с удалённого сервера. Этот файл поначалу вполне безвреден, но в любой момент может быть подменён чем-то вредоносным, указывает Уоррен.
Если по какой-то причине вышеуказанные исполняемые файлы не находятся, создаётся ещё один вебшелл — ASPX-файл со случайным названием. Он размещается в папке C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\
Как выяснили эксперты компании Bad Packets, наиболее активное сканирование уязвимых серверов Microsoft Exchange производится с IP-адресов, расположенных в США, Иране и Нидерландах.
«Серверы Microsoft Exchange регулярно становятся объектами атак, во многом благодаря их популярности и возможности нанести большой ущерб связанной инфраструктуре, — говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Весной наблюдалась обширная кампания, нацеленная на уязвимость ProxyLogon, информация о которой была опубликована в марте; сейчас, скорее всего, сходная история сложится и с ProxyShell. Все предпосылки к этому уже наблюдаются воочию».
Администраторам серверов рекомендовано установить обновления, защищающие от ProxyShell, как можно скорее.