Hakerzy skanują i atakują serwery Exchange podatne na luki ProxyShell

Luki wykorzystywane w atakach ProxyShell

Po zbadaniu wektora ataku eksperci odkryli, że w nazwie ProxyShell istnieją trzy luki. Poniżej szczegóły podatności, które zostały użyte w tym ataku:

• CVE-2021-34473 — Obejście ACL spowodowane luką „Pre-auth Path Confusion”. Podatność została załatana w kwietniu przez KB5001779
• CVE-2021-34523 — podniesienie uprawnień w programie Exchange PowerShell Backend, który został załatany w kwietniu przez KB5001779
• CVE-2021-31207 – Post-auth Arbitrary-File-Write prowadzi do RCE i został załatany w maju przez KB5003435

Hakerzy skanują podatne serwery Microsoft Exchange

Według raportu analitycy bezpieczeństwa zauważyli, że ich serwer Exchange skonfigurowany jako honeypot został przeskanowany przez atakujących. Dzięki temu byli w stanie dowiedzieć się czegoś więcej o wektorze ataku. Przeskanowana została usługa Autodiscover serwera.

W raporcie stwierdzono, że cyberprzestępcy również śledzą prezentacje przedstawiane na konferencjach poświęconych bezpieczeństwu i szybko dostosowują kod o wszystkie nowości jakie się pojawiają. Zagrożone systemy są szybko wykrywane przez cyberprzestępców dzięki obecności nowego adresu URL, który pomógł im wyzwolić atak na usługę. (działającą w technologii Web ASP.NET).

Demo ataku ProxyShell

Prezentację ataku ProxyShell na serwer Microsoft Exchange możecie zobaczyć na poniższym demo:

Podsumowanie

Eksperci z Orange Tsai zasugerowali, aby administratorzy Microsoft Exchange często aktualizowali swoje systemy. Dzięki temu opisywany wektor ataku (oraz inne) nie będzie możliwy do przeprowadzenia przez cyberprzestępców. Należy zatem wgrywać (w miarę możliwości) opublikowane przez Microsoft poprawki. Orange Tsai stwierdził, że obecnie w Internecie wykryto 400 000 serwerów Microsoft Exchange i na niektórych z nich hakerom udało się przeprowadzić wiele udanych ataków.