Microsoft Exchange-servrar skannas efter ProxyShell-sårbarheter
Just nu skannas Microsoft Exchange-servrar efter RCE-sårbarheter [1, 2].Det är följande tre ProxyShell-sårbarheter, rapporterade av av säkerhetsforskaren Orange Tsai, som kan kombineras för att möjliggöra fjärrexekvering av kod på sårbara Exchange-servrar [3, 4]:- CVE-2021-34473 - “Pre-auth Path Confusion leads to ACL Bypass”, säkerhetsuppdateringen släpptes i april (KB5001779).
- CVE-2021-34523 - “Elevation of Privilege on Exchange PowerShell Backend”, säkerhetsuppdateringen släpptes i april (KB5001779).
- CVE-2021-31207 - “Post-auth Arbitrary-File-Write leads to RCE”, säkerhetsuppdateringen släpptes i maj (KB5003435).
Säkerhetsuppdateringarna för dessa tre sårbarheter släpptes som en del av Microsofts månatliga uppdateringar i april och maj.Andra säkerhetsforskare har också rapporterat om exploateringsförsök. [2]
För att upptäcka försök till exploatering kan följande textsträngar användas för sökningar i IIS-loggar:"/autodiscover/autodiscover.json""/mapi/nspi/"Dessa kritiska sårbarheter blev kända i mars, varpå CERT-SE skickade ut ett blixtmeddelande [5].
Uppdatering 2021-08-23
CISA varnar om att ProxyShell-sårbarheterna nu utnyttjas aktivt. [6] En angripare som utnyttjar sårbarheterna kan köra godtycklig kod på en sårbar server. Uppmaningen från CISA är att snarast identifiera sårbara system och omedelbart uppdatera dem enligt Microsofts säkerhetsuppdatering från maj 2021.[7]
Mer info om sårbarheten finns även i en presentation [8] som säkerhetsforskaren Orange Tsai nyligen höll på konferensen Black Hat USA.
Uppdatering 2021-08-25
I flera fall har ouppdaterade Exchange-servrar utnyttjats av en ransomware-aktör. Se länken för att läsa om vad de vanligtvis gör vid intrånget.[9]
Uppdatering 2021-08-26
Säkerhetsforskaren Florian Roth informerar om ett antal misstänkta IIS-konfigurationer med dessa ändringar. Dessa pekar på en ProgramData-mapp som laddades upp under perioden mars-juni och hittades i attacker mot attacker mot Exchange-servrar i augusti. [10, 11, 12]Håll utkik efter följande konfigurationsfiler för vidare undersökning:C:\Windows\System32\inetsrv\Config\applicationHost.configC:\inetpub\temp\apppools\MSExchangeECPAppPool\MSExchangeECPAppPool.config
Rekommendationer
CERT-SE rekommenderar att organisationer med sårbara Exchange-servrar så snart som det är möjligt letar efter spår av eventuella intrång, säkerställer att säkerhetskopiorna är i sin ordning samt uppdaterar Exchange till senaste version.
Oavsett om du redan patchat och huruvida din organisation påverkats av ProxyLogon och ProxyShell eller ej är rekommendationen att leta efter indikatorer på dolda web shells i konfigurationsfilerna som anges ovan. Färdiga Yara-regler finns tillgängliga via. [10]
Om du hittar någon av dessa nya web shell-platser som det refereras till, se till att söka efter samma katalogstruktur och web shell-fil under C:\Users\All Users.
Källor
[2] https://twitter.com/GossiTheDog/status/1423764613829701632
[3] https://blog.orange.tw/2021/08/proxylogon-a-new-attack-surface-on-ms-exchange-part-1.html?m=1
[4] https://blog.orange.tw/2021/08/proxyoracle-a-new-attack-surface-on-ms-exchange-part-2.html
[5] https://www.cert.se/2021/03/bm21-001-aktiva-skanningar-efter-sarbara-microsoft-exchange-servrar
[7] https://www.cert.se/2021/05/microsofts-manatliga-sakerhetsuppdateringar-for-maj-2021
[10] https://github.com/Neo23x0/signature-base/blob/master/yara/expl_proxyshell.yar#L63
[11] https://twitter.com/cyb3rops/status/1430459439526645768