Detección de Ataques de Microsoft Exchange ProxyShell
Tabla de contenidos:
Miles de servidores Microsoft Exchange siguen siendo vulnerables a las vulnerabilidades de ejecución remota de código ProxyShell a pesar de los parches emitidos en abril-mayo. Para empeorar las cosas, los investigadores de seguridad están observando un aumento significativo en los escaneos de servidores Exchange vulnerables, después de que el resumen técnico del ataque ProxyShell fuera revelado en la conferencia Black Hat del 4 al 5 de agosto de 2021.
¿Qué son los errores de ProxyShell?
ProxyShell es un nombre único para tres fallas separadas que, si se encadenan, permiten a los hackers no autenticados realizar una ejecución remota de código (RCE) en servidores Microsoft Exchange vulnerables. El primer error (CVE-2021-34473) es un problema de confusión de parche pre-autenticación que resulta en un bypass de ACL. La segunda falla (CVE-2021-34523) es una elevación de privilegios en el backend de PowerShell de Exchange. Y finalmente, el tercer problema (CVE-2021-31207) es una mala configuración de escritura de archivo arbitrario post-autenticación que lleva a RCE. La combinación de estas malas configuraciones podría aprovecharse a través del Servicio de Acceso al Cliente de Microsoft Exchange (CAS) que opera en el puerto 443 en IIS.
Los errores fueron identificados y analizados por el investigador de seguridad Orange Tsai en abril de 2021. Además, en la conferencia Black Hat, Tsai proporcionó un resumen de la cadena de ataque y detalles técnicos de las fallas. Particularmente, el experto explicó que el ataque ProxyShell compromete el servicio Autodiscover de Microsoft Exchange destinado a simplificar la auto-configuración del software cliente de correo.
La presentación de Tsai en Black Hat inspiró a los investigadores de seguridad PeterJson y Jang a publicar una visión general en profundidad del ataque ProxyShell y una descripción paso a paso de la cadena de ataque.
Ahora, con los detalles revelados y la cadena de ataque descrita, los adversarios están escaneando activamente servidores Microsoft Exchange vulnerables para aprovechar la combinación de fallas en el entorno real. Hasta ahora, los hackers no han sido muy prolíficos en sus intentos, pero probablemente veremos una avalancha de intentos de explotación exitosos pronto. Además, a pesar de que los parches han estado disponibles desde abril de 2021, más de 30,000 servidores Exchange siguen siendo vulnerables hasta la fecha, motivando a los atacantes a continuar con sus acciones maliciosas.
Detección y Mitigación del Ataque ProxyShell
Aunque las fallas de ProxyShell fueron divulgadas públicamente en julio, Microsoft ha arreglado estas notorias vulnerabilidades en abril-mayo de 2021. Particularmente, CVE-2021-34473 y CVE-2021-34523 fueron abordadas silenciosamente en la actualización acumulativa KB5001779 de Microsoft Exchange de abril. Y CVE-2021-31207 fue parcheado con el lanzamiento de KB5003435 cumulative update. And CVE-2021-31207 was patched with the release of KB5003435. Se insta a los administradores a parchear los servidores lo antes posible para prevenir las devastadoras consecuencias del ataque ProxyShell.
Para ayudar a los profesionales de seguridad a resistir los ataques ProxyShell y detectar posibles actividades maliciosas dentro de la red, los expertos en seguridad Florian Roth y Rich Warren han lanzado reglas Sigma dedicadas. Descargue estos elementos de contenido SOC gratis directamente desde el Threat Detection Marketplace:
Patrón de Exchange ProxyShell
Esta regla escrita por Florian Roth y Rich Warren detecta patrones URP que podrían encontrarse en intentos de explotación ProxyShell contra servidores Exchange.
SIEM & ANALÍTICA DE SEGURIDAD: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Graylog, Regex Grep, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
La regla está mapeada al Marco ATT&CK® de MITRE abordando las tácticas de Acceso Inicial y la técnica de Explotar Aplicación Orientada al Público (T1190).
Exportación de Buzón de PowerShell Sospechosa a Compartir
Esta regla escrita por Florian Roth detecta una solicitud New-MailboxExportRequest de PowerShell que exporta un buzón a un recurso compartido local, como se usa en explotaciones ProxyShell.
SIEM & ANALÍTICA DE SEGURIDAD: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Graylog, Regex Grep, Humio, SentinelOne, CrowdStrike, Microsoft Powershell, Microsoft Defender ATP, Carbon Black, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
La regla está mapeada al Marco ATT&CK® de MITRE abordando las tácticas de Colección y la técnica de Recolección de Correo Electrónico (T1114).
Suscríbase al Threat Detection Marketplace gratis y acceda a la plataforma líder en la industria de Contenido-como-Servicio (CaaS) que potencia el flujo de trabajo completo de CI/CD para la detección de amenazas. Nuestra biblioteca agrega más de 100 mil elementos de contenido SOC calificados, de varios proveedores y herramientas, mapeados directamente a los marcos CVE y ATT&CK® de MITRE. ¿Entusiasmado por crear sus propias reglas Sigma? Únase a nuestro programa Threat Bounty y sea recompensado por su aporte.
