Un grupo de hacking está explotando los servidores Microsoft Exchange expuestos a la vulnerabilidad ProxyShell con el fin de instalar un backdoor y desplegar ataques posteriores. Como recordará, ProxyShell es un conjunto de tres fallas de seguridad en Exchange cuya explotación permitiría la ejecución de código remoto.
Las vulnerabilidades fueron reportadas por Orange Tsai, de la firma de seguridad Devcore. El investigador logró encadenar la explotación de las tres fallas para tomar control total de un servidor Exchange, demostrando su ataque en Pwn2wn 2021. A continuación se presenta una breve descripción de las fallas reportadas:
- CVE-2021-34473: Confusión de ruta previa a la autenticación que podría conducir a evasión de ACL
- CVE-2021-34523: Escalada de privilegios en el backend de Exchange PowerShell
- CVE-2021-31207: Escritura arbitraria de archivos posterior a la autenticación que podría llevar a un escenario de ejecución remota de código (RCE)
En una demostración posterior, Orange Tsai describió cómo es posible comprometer una implementación de Exchange vulnerable apuntando contra Client Access Service (CAS). Orange Tsai agregó que la explotación de ProxyShell requiere de la función AutoDiscover para desplegar un ataque de falsificación de solicitudes del lado del servidor (SSRF).
Poco después de la presentación, un equipo de investigadores publicó detalles técnicos adicionales sobre la explotación de este ataque, lo que contribuyó a que algunos grupos de hacking comenzaran a explotar de forma activa esta falla.
Por otra parte, los analistas de vulnerabilidades Kevin Beaumont y Rich Warren afirman que los grupos de hacking trataron de abusar de esta falla en sus honeypots, lo que permitió aprender algunas cosas sobre los atacantes. Los actores de amenazas emplean una URL inicial como se muestra a continuación:
https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com
El exploit utilizado por los atacantes entrega un webshell de apenas 265 KB en la carpeta c:\inetpub\wwwroot\aspnet_client\.
Los investigadores mencionan que 265KB es el tamaño mínimo de archivo que se puede crear usando el exploit ProxyShell debido a su abuso de la función Mailbox Export de Exchange Powershell para crear archivos PST.
Warren menciona que los webshells empleados por los hackers consisten en un script protegido con autenticación que permite la carga arbitraria de archivos en implementaciones vulnerables de Exchange. Para ello, los actores de amenazas usan el primer webshell para cargar un segundo webshell en una carpeta de acceso remoto y dos archivos ejecutables en C:\Windows\System32.
Un reporte completo de estos ataques está disponible en las plataformas oficiales de los investigadores.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.