Эксперты предупреждают: злоумышленники атакуют серверы Microsoft Exchange, используя уязвимости ProxyShell, и устанавливают на них бэкдоры для последующего доступа.
Напомню, что об уязвимостях, которые получили общее название ProxyShell, недавно рассказали на конференции Black Hat. ProxyShell объединяет в себе три уязвимости, которые позволяют добиться удаленного выполнения кода без аутентификации на серверах Microsoft Exchange. Эти уязвимости эксплуатируют Microsoft Exchange Client Access Service (CAS), работающий на порту 443.
Теперь известные ИБ-исследователи Кевин Бомонт и Рич Уоррен пишут в Twitter, что злоумышленники уже перешли от сканирований к активным действиям и атаковали их ханипоты Microsoft Exchange с помощью ProxyShell.
В настоящее время с помощью ProxyShell злоумышленники внедряют на сервер веб-шелл размером 265 Кб по адресу c:\inetpub\wwwroot\aspnet_client\ (265 Кб — это минимальный размер файла, который может быть создан с помощью эксплоита для ProxyShell).
Издание Bleeping Computer сообщает, что такие веб-шеллы состоят из простого защищенного аутентификацией скрипта, который атакующие могут использовать для загрузки файлов на скомпрометированный сервер. Рич Уоррен добавляет, что злоумышленники используют первый веб-шелл для загрузки дополнительного веб-шелла в папку с удаленным доступом, а также два исполняемых файла в C:\Windows\System32: createhidetask.exe и ApplicationUpdate.exe.
Если эти исполняемые файлы не находятся, по адресу C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\ будет создан другой веб-шелл в виде файлов ASPX со случайным именем.
Атакующие используют второй веб-шелл для запуска createhidetask.exe, который создает запланированную задачу с именем PowerManager, а та запускает исполняемый файл ApplicationUpdate.exe ежедневно в 1 час ночи.
Уоррен пишет, что ApplicationUpdate.exe — это кастомный загрузчик .NET, используемый в качестве бэкдора. Это загрузчик загружает другой бинарник .NET с удаленного сервера (который в настоящее время обслуживает полезную нагрузку). И хотя текущий пейлоад безопасен, ожидается, что он будет заменен на вредоносный, как только атакующие скомпрометируют достаточное количество серверов.
Напомню, что об уязвимостях, которые получили общее название ProxyShell, недавно рассказали на конференции Black Hat. ProxyShell объединяет в себе три уязвимости, которые позволяют добиться удаленного выполнения кода без аутентификации на серверах Microsoft Exchange. Эти уязвимости эксплуатируют Microsoft Exchange Client Access Service (CAS), работающий на порту 443.
- CVE-2021-34473: Path Confusion без аутентификации, ведущий к обходу ACL (исправлено в апреле в KB5001779);
- CVE-2021-34523: повышение привилегий в Exchange PowerShell Backend (исправлено в апреле в KB5001779);
- CVE-2021-31207: запись произвольных файлов после аутентификации, что ведет к удаленному выполнению кода (исправлено в мае в KB5003435).
Теперь известные ИБ-исследователи Кевин Бомонт и Рич Уоррен пишут в Twitter, что злоумышленники уже перешли от сканирований к активным действиям и атаковали их ханипоты Microsoft Exchange с помощью ProxyShell.
В настоящее время с помощью ProxyShell злоумышленники внедряют на сервер веб-шелл размером 265 Кб по адресу c:\inetpub\wwwroot\aspnet_client\ (265 Кб — это минимальный размер файла, который может быть создан с помощью эксплоита для ProxyShell).
Издание Bleeping Computer сообщает, что такие веб-шеллы состоят из простого защищенного аутентификацией скрипта, который атакующие могут использовать для загрузки файлов на скомпрометированный сервер. Рич Уоррен добавляет, что злоумышленники используют первый веб-шелл для загрузки дополнительного веб-шелла в папку с удаленным доступом, а также два исполняемых файла в C:\Windows\System32: createhidetask.exe и ApplicationUpdate.exe.
Если эти исполняемые файлы не находятся, по адресу C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\ будет создан другой веб-шелл в виде файлов ASPX со случайным именем.
Атакующие используют второй веб-шелл для запуска createhidetask.exe, который создает запланированную задачу с именем PowerManager, а та запускает исполняемый файл ApplicationUpdate.exe ежедневно в 1 час ночи.
Уоррен пишет, что ApplicationUpdate.exe — это кастомный загрузчик .NET, используемый в качестве бэкдора. Это загрузчик загружает другой бинарник .NET с удаленного сервера (который в настоящее время обслуживает полезную нагрузку). И хотя текущий пейлоад безопасен, ожидается, что он будет заменен на вредоносный, как только атакующие скомпрометируют достаточное количество серверов.