Vulnerabilități ProxyShell în serverele Microsoft Exchange

Cercetătorii în domeniul securității cibernetice, au descoperit recent un nou atac de tip ransomware, denumit Conti, care a apărut în urma unor vulnerabilități în ProxyShell. Acestea permit accesarea serverelor Microsoft Exchange și astfel are loc compromiterea rețelelor unor companii.

ProxyShell este un atac înlănțuit care poate fi folosit pentru a executa comenzi arbitrare de la distanță pe serverele de Exchange fără a fi necesară autentificarea. Cele trei vulnerabilități Microsoft Exchange sunt regăsite ca CVE-2021-34473, CVE-2021-34523 și CVE-2021-31207.

Microsoft a emis patch-uri de securitate în lunile aprilie și mai 2021 pentru a remedia eventualele vulnerabilitățile, dar au fost publicate recent detalii tehnice despre cum acestea pot fi exploatate din nou, permițând hackerilor să le utilizeze în atacuri cibernetice. Până în prezent, infractorii cibernetici au folosit vulnerabilitățile ProxyShell pentru a furniza web shell-uri, backdoor-uri și ransomware-ul LockFile.

Firma de securitate Sophos a observat că afiliații Conti au accentuat considerabil intensitatea atacurilor, implementând ransomware în doar câteva ore, în loc de săptămâni sau luni.

Cercetătorii de la Sophos au fost implicați recent într-un caz în care atacatorii au răspândit ransomware-ul Conti, astfel încât aceștia au reușit să cripteze stația unui utilizator. Specialiștii au analizat incidentul și au observat că atacatorii au compromis rețeaua folosind vulnerabilitățile Microsoft Exchange ProxyShell.

După instalarea ransomware-ului au fost instalate doua web shell-uri cu ajutorul cărora atacatorii au reușit să facă o listă a tuturor computerelor din rețea, domain controller-urilor și administratorilor de domeniu. La un interval de 4 ore după atac, au fost obținute credențialele pentru conturile de administrator de domeniu.

După 48 de ore de la obținerea accesului, atacatorii au furat aproximativ 1 terabyte de date necriptate și le-au încărcat pe serverul de fișiere MEGA. În decurs de cinci zile, ransomware-ul Conti a fost implementat pe fiecare mașină din rețea, vizând în mod special partajările de rețea individuale de pe fiecare computer.

În timpul atacului au fost instalate două web shell-uri, un Cobalt Strike și programe de acces de la distanță (AnyDesk, Atera, Splashtop și Remote Utilities).

ProxyShell și alte atacuri bazate pe vulnerabilitățile cunoscute ale serverelor Microsoft Exchange, reprezintă un risc semnificativ. Companiile care utilizează Exchange Server on-premise ar trebui să facă actualizări cât mai repede posibil.

Sursa: https://heimdalsecurity.com/blog/conti-ransomware-is-now-using-proxyshell-exploits-to-compromise-exchange-servers/

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică