Descripción
Durante casi un mes, se estuvo observando la explotación masiva de ProxyShell, un conjunto de vulnerabilidades reveladas por Orange Tsai en BlackHat.
Las vulnerabilidades, rastreadas con CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207, permiten a los adversarios eludir los controles de ACL, elevar los privilegios en el backend de Exchange PowerShell, lo que permite al atacante realizar una ejecución de código no autenticado.
Estas vulnerabilidades de Microsoft Exchange reveladas en marzo son explotadas con mayor regularidad y las organizaciones en gran parte no las han parcheado.
Productos afectados
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
Mitigación
Actualizar al último parche de seguridad publicado por Microsoft para sus productos Exchange Server.
Para la CVE-2021-34473 se tienen las siguientes actualizaciones:
Para la CVE-2021-34523 se tienen las siguientes actualizaciones:
Para la CVE-2021-31207 se tienen las siguientes actualizaciones:
Indicadores de compromiso
El exploit consiste en colocar un webshell que tiene un tamaño de 265 KB en la carpeta ‘C:\inetpub\wwwroot\aspnet_client\’.
De una muestra compartida por Warren con BleepingComputer, los webshells consisten en un simple script protegido por autenticación que los actores de amenazas pueden usar para cargar archivos al servidor Microsoft Exchange comprometido.
Warren dijo que los actores de amenazas usan el primer webshell para cargar un webshell adicional en una carpeta de acceso remoto y dos ejecutables en las carpetas C;\Windows\System32, que se enumeran a continuación:
- C:\Windows\System32\createhidetask.exe
- C:\Windows\System32\ApplicationUpdate.exe
Si no se pueden encontrar los dos ejecutables, se creará otro webshell en la siguiente carpeta como archivos ASPX con nombres aleatorios.
- C:\Progam Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProsy\owa\auth
Los atacantes utilizan el segundo webshell para iniciar el “createhidetask.exe”,que crea una tarea programada llamada “PowerManager” que ejecuta “ApplicationUpdate.exe” todos los días a la 1 de la madrugada.
Warren le dijo a BleepingComputer que el ejecutable ApplicationUpdate.exe es un cargador .NET personalizado que se utiliza como puerta trasera.
“ApplicationUpdate.exe es el cargador .NET que obtiene otro binario .NET de un servidor remoto (que actualmente está entregando una carga útil benigna)”, explicó Warren.
Si bien la carga útil actual es benigna, se espera que se cambie por una carga útil maliciosa una vez que se vean comprometidos suficientes servidores.
Recomendación
Para aquellos que no han actualizado recientemente su servidor de Microsoft Exchange se recomienda que lo hagan de inmediato.
Indentificadores CVE
- CVE-2021-34473: Vulnerabilidad que produce la confusión de ruta previa a la autenticación conduce a la omisión de ACL.
- CVE-2021-34523: Vulnerabilidad que produce la elevación de privilegios en el backend de Exchange PowerShell.
- CVE-2021-31207: Vulnerabilidad que después de la autorización de escritura arbitraria de archivos conduce a realizar ejecución de código de forma remota RCE.
Referencias
https://thehackernews.com/2021/08/microsoft-exchange-under-attack-with.html