Rilevamento dell’attacco ProxyShell a Microsoft Exchange
Indice:
Migliaia di server Microsoft Exchange rimangono vulnerabili alle vulnerabilità di esecuzione di codice remoto ProxyShell nonostante le patch rilasciate tra aprile e maggio. A peggiorare le cose, i ricercatori di sicurezza stanno osservando un significativo aumento delle scansioni per i server Exchange vulnerabili, dopo che la panoramica tecnica dell’attacco ProxyShell è stata rivelata alla conferenza Black Hat il 4-5 agosto 2021.
Cosa sono i bug di ProxyShell?
ProxyShell è un nome unico per tre vulnerabilità distinte che, se concatenati, consentono a hacker non autenticati di eseguire codice remoto (RCE) su server Microsoft Exchange vulnerabili. Il primo bug (CVE-2021-34473) è un problema di confusione della patch pre-auth che porta al bypass dell’ACL. La seconda vulnerabilità (CVE-2021-34523) è un’elevazione dei privilegi sul backend di Exchange PowerShell. Infine, il terzo problema (CVE-2021-31207) è una configurazione errata di scrittura arbitraria di file post-auth che porta a RCE. La combinazione di queste configurazioni errate può essere sfruttata attraverso il Client Access Service (CAS) di Microsoft Exchange in esecuzione sulla porta 443 in IIS.
I bug sono stati identificati e analizzati dal ricercatore di sicurezza Orange Tsai nell’aprile 2021. Inoltre, alla conferenza Black Hat, Tsai ha fornito una panoramica della catena di uccisione dell’attacco e dettagli tecnici delle vulnerabilità . In particolare, l’esperto ha spiegato che l’attacco ProxyShell compromette il servizio Autodiscover di Microsoft Exchange destinato a semplificare l’auto-configurazione del software client di posta.
La presentazione di Tsai alla Black Hat ha ispirato i ricercatori di sicurezza PeterJson e Jang a pubblicare una inspired PeterJson and Jang security researchers to publish an panoramica approfondita dell’attacco ProxyShell e una descrizione passo-passo della catena di uccisione dell’attacco.
Ora, con i dettagli rivelati e la catena di uccisione descritta, gli avversari stanno attivamente scansionando i server Microsoft Exchange vulnerabili per sfruttare la combinazione di vulnerabilità nel mondo reale. Finora, gli hacker non sono molto prolifici nei loro tentativi, eppure probabilmente vedremo presto una valanga di tentativi di sfruttamento riusciti. Inoltre, nonostante le patch siano disponibili da aprile 2021, oltre 30.000 server Exchange rimangono vulnerabili fino ad oggi, motivando gli aggressori a procedere con le loro azioni malevole.
Rilevamento e Mitigazione dell’Attacco ProxyShell
Sebbene le vulnerabilità ProxyShell siano state divulgate pubblicamente a luglio, Microsoft ha risolto queste famigerate vulnerabilità già ad aprile-maggio 2021. In particolare, CVE-2021-34473 e CVE-2021-34523 sono state silenziosamente risolte nell’aggiornamento cumulativo di Microsoft Exchange di aprile KB5001779 . E CVE-2021-31207 è stata corretta con il rilascio del KB5003435. Gli amministratori sono invitati a patchare i server il prima possibile per prevenire le conseguenze devastanti dell’attacco ProxyShell.
Per aiutare i professionisti della sicurezza a resistere agli attacchi ProxyShell e a rilevare possibili attività malevoli all’interno della rete, gli esperti di sicurezza Florian Roth e Rich Warren hanno rilasciato regole Sigma dedicate. Scarica gratuitamente questi elementi di contenuto SOC direttamente dal Threat Detection Marketplace:
Schema ProxyShell di Exchange
Questa regola scritta da Florian Roth e Rich Warren rileva schemi URP che potrebbero essere trovati nei tentativi di sfruttamento di ProxyShell contro server Exchange.
SIEM e ANALISI DI SICUREZZA: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Graylog, Regex Grep, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
La regola è mappata al Framework MITRE ATT&CK® affrontando le tattiche di Accesso Iniziale e la tecnica di Sfruttamento di Applicazioni Pubbliche (T1190).
Esportazione Sospetta di Caselle di Posta di PowerShell a Condivisione
Questa regola scritta da Florian Roth rileva una nuova richiesta di esportazione di casella di posta di PowerShell che esporta una casella di posta a una condivisione locale, come utilizzato negli sfruttamenti di ProxyShell.
SIEM e ANALISI DI SICUREZZA: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Graylog, Regex Grep, Humio, SentinelOne, CrowdStrike, Microsoft Powershell, Microsoft Defender ATP, Carbon Black, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
La regola è mappata al Framework MITRE ATT&CK® affrontando le tattiche di Collezione e la tecnica di Collezione di Email (T1114).
Iscriviti gratuitamente al Threat Detection Marketplace e accedi alla piattaforma leader del settore Content-as-a-Service (CaaS) che potenzia il flusso di lavoro CI/CD completo per il rilevamento delle minacce. La nostra libreria aggrega oltre 100.000 elementi di contenuto SOC qualificati e cross-vendor mappati direttamente a CVE e ai framework MITRE ATT&CK®. Sei entusiasta di creare le tue regole Sigma? Unisciti al nostro programma Threat Bounty e ricevi un compenso per il tuo contributo!
