DOBERMANN
Гай Ричи
MrLoot
Frank Vinci
atmservice

СМИ Уязвимости ProxyShell эксплуатируют для установки бэкдоров

GLOV

Авторитет
Проверенный продавец

GLOV

Авторитет
Проверенный продавец
Статус
Offline
Регистрация
22 Июн 2018
Сообщения
1,508
Реакции
13
Покупки через Гарант
0
Продажи через Гарант
0
Эксперты предупреждают: злоумышленники атакуют серверы Microsoft Exchange, используя уязвимости ProxyShell, и устанавливают на них бэкдоры для последующего доступа.
Напомню, что об уязвимостях, которые получили общее название ProxyShell, недавно рассказали на конференции Black Hat. ProxyShell объединяет в себе три уязвимости, которые позволяют добиться удаленного выполнения кода без аутентификации на серверах Microsoft Exchange. Эти уязвимости эксплуатируют Microsoft Exchange Client Access Service (CAS), работающий на порту 443.

  • CVE-2021-34473: Path Confusion без аутентификации, ведущий к обходу ACL (исправлено в апреле в KB5001779);
  • CVE-2021-34523: повышение привилегий в Exchange PowerShell Backend (исправлено в апреле в KB5001779);
  • CVE-2021-31207: запись произвольных файлов после аутентификации, что ведет к удаленному выполнению кода (исправлено в мае в KB5003435).
Изначально эти проблемы обнаружили исследователи Devcore, чья команда получила приз в размере 200 000 долларов за их использование на апрельском хакерском соревновании Pwn2Own 2021. Теперь же специалисты Devcore выступили с докладом на Black Hat и рассказали об уязвимостях Microsoft Exchange более подробно, после чего что хакеры начали сканировать интернет в поисках уязвимых систем.
Теперь известные ИБ-исследователи Кевин Бомонт и Рич Уоррен пишут в Twitter, что злоумышленники уже перешли от сканирований к активным действиям и атаковали их ханипоты Microsoft Exchange с помощью ProxyShell.


В настоящее время с помощью ProxyShell злоумышленники внедряют на сервер веб-шелл размером 265 Кб по адресу c:\inetpub\wwwroot\aspnet_client\ (265 Кб — это минимальный размер файла, который может быть создан с помощью эксплоита для ProxyShell).
Издание Bleeping Computer сообщает, что такие веб-шеллы состоят из простого защищенного аутентификацией скрипта, который атакующие могут использовать для загрузки файлов на скомпрометированный сервер. Рич Уоррен добавляет, что злоумышленники используют первый веб-шелл для загрузки дополнительного веб-шелла в папку с удаленным доступом, а также два исполняемых файла в C:\Windows\System32: createhidetask.exe и ApplicationUpdate.exe.
Если эти исполняемые файлы не находятся, по адресу C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\ будет создан другой веб-шелл в виде файлов ASPX со случайным именем.
Атакующие используют второй веб-шелл для запуска createhidetask.exe, который создает запланированную задачу с именем PowerManager, а та запускает исполняемый файл ApplicationUpdate.exe ежедневно в 1 час ночи.
Уоррен пишет, что ApplicationUpdate.exe — это кастомный загрузчик .NET, используемый в качестве бэкдора. Это загрузчик загружает другой бинарник .NET с удаленного сервера (который в настоящее время обслуживает полезную нагрузку). И хотя текущий пейлоад безопасен, ожидается, что он будет заменен на вредоносный, как только атакующие скомпрометируют достаточное количество серверов.
 
Сверху