AGÊNCIA DE CIBERSEGURANÇA DOS EUA (CISA) ALERTA PARA A GRANDE QUANTIDADE DE SERVIDORES MICROSOFT EXCHANGE VULNERÁVEIS

 

A U.S. Cybersecurity and Infrastructure Security Agency (CISA), está alertando sobre tentativas de exploração ativa que aproveitam a linha mais recente de vulnerabilidades "ProxyShell" do Microsoft Exchange corrigidas no início de maio, incluindo a implantação de ransomware LockFile em sistemas comprometidos.

Identificadas como CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207, as vulnerabilidades permitem que os atacantes ignorem os controles ACL e elevem os privilégios no back-end do Exchange PowerShell, permitindo efetivamente que o invasor execute a execução remota de código não autenticado. Enquanto os dois primeiros foram resolvidos pela Microsoft em 13 de abril, um patch para o CVE-2021-31207 foi enviado como parte das atualizações do Patch Tuesday. 

Demonstrado originalmente no concurso de hacking Pwn2Own, em abril deste ano, o ProxyShell faz parte de um trio mais amplo de cadeias de exploração descobertas pelo pesquisador de segurança do DEVCORE Orange Tsai que inclui ProxyLogon e ProxyOracle, o último dos quais diz respeito a duas falhas de execução remota de código que poderiam ser utilizadas para recuperar a senha de um usuário em formato de texto simples.

Agora, de acordo com pesquisadores do Huntress Labs, pelo menos cinco estilos distintos de web shells foram observados como implantados em servidores Microsoft Exchange vulneráveis, com mais de 100 incidentes relatados relacionados à exploração entre 17 e 18 de agosto. para os servidores comprometidos, mas não está claro exatamente quais são os objetivos ou até que ponto todas as falhas foram utilizadas. Mais de 140 web shells foram detectados em nada menos que 1.900 servidores Exchanger não corrigidos até o momento.