Detecção de Ataques ProxyShell no Microsoft Exchange
Índice:
Milhares de servidores Microsoft Exchange permanecem vulneráveis às falhas de execução remota de código ProxyShell, apesar dos patches emitidos em abril-maio. Para piorar ainda mais, pesquisadores de segurança estão observando um aumento significativo nas varreduras para servidores Exchange vulneráveis, após a visão técnica do ataque ProxyShell ter sido revelada na conferência Black Hat em 4-5 de agosto de 2021.
O que são as falhas ProxyShell?
ProxyShell é um único nome para três falhas separadas que, se encadeadas, permitem que hackers não autenticados realizem execução remota de código (RCE) em servidores Microsoft Exchange vulneráveis. A primeira falha (CVE-2021-34473) é uma questão de confusão de patch pré-autenticação que resulta em bypass de ACL. A segunda falha (CVE-2021-34523) é uma elevação de privilégio no backend do Exchange PowerShell. E, finalmente, o terceiro problema (CVE-2021-31207) é uma falha de configuração pós-autenticação de gravação de arquivo arbitrário que leva à RCE. A combinação dessas falhas pode ser explorada através do Serviço de Acesso ao Cliente (CAS) do Microsoft Exchange rodando na porta 443 no IIS.
As falhas foram identificadas e analisadas pelo pesquisador de segurança Orange Tsai em abril de 2021. Além disso, na conferência Black Hat, Tsai forneceu uma visão geral da cadeia de ataque e detalhes técnicos das falhas. Particularmente, o especialista explicou que o ataque ProxyShell compromete o serviço Autodiscover do Microsoft Exchange, destinado a simplificar a configuração automática do software cliente de e-mail.
A apresentação de Tsai na Black Hat inspirou os pesquisadores de segurança PeterJson e Jang a publicarem uma visão geral aprofundada do ataque ProxyShell e uma descrição passo-a-passo da cadeia de ataque.
Agora, com os detalhes revelados e a cadeia de ataque descrita, os adversários estão ativamente escaneando servidores Microsoft Exchange vulneráveis para explorar a combinação de falhas na prática. Até agora, os hackers não têm sido muito prolíficos em suas tentativas, mas veremos provavelmente uma avalanche de tentativas de exploração bem-sucedidas em breve. Além disso, apesar de os patches estarem disponíveis desde abril de 2021, mais de 30.000 servidores Exchange permanecem vulneráveis até hoje, motivando os atacantes a prosseguir com suas ações maliciosas.
Detecção e Mitigação do Ataque ProxyShell
Embora as falhas ProxyShell tenham sido divulgadas publicamente em julho, a Microsoft corrigiu essas notórias vulnerabilidades ainda em abril-maio de 2021. Particularmente, CVE-2021-34473 e CVE-2021-34523 foram abordadas silenciosamente na atualização cumulativa KB5001779 do Microsoft Exchange em abril. E a CVE-2021-31207 foi corrigida com a liberação da KB5003435. Os administradores são instados a corrigir os servidores o mais rápido possível para evitar as consequências devastadoras do ataque ProxyShell.
Para ajudar os profissionais de segurança a resistirem aos ataques ProxyShell e detectarem possível atividade maliciosa dentro da rede, os especialistas em segurança Florian Roth e Rich Warren lançaram regras Sigma dedicadas. Baixe esses itens de conteúdo SOC gratuitamente diretamente do Threat Detection Marketplace:
Padrão ProxyShell do Exchange
Esta regra escrita por Florian Roth e Rich Warren detecta padrões URP que poderiam ser encontrados em tentativas de exploração do ProxyShell contra servidores Exchange.
SIEM & SECURITY ANALYTICS: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Graylog, Regex Grep, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
A regra é mapeada para o Framework MITRE ATT&CK® abordando táticas de Acesso Inicial e a técnica de Explorar Aplicação Exposta Publicamente (T1190).
Exportação de Caixa de Correio do PowerShell Suspeita para Compartilhamento
Esta regra escrita por Florian Roth detecta um pedido New-MailboxExportRequest do PowerShell que exporta uma caixa de correio para um compartilhamento local, como usado em explorações ProxyShell.
SIEM & SECURITY ANALYTICS: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Graylog, Regex Grep, Humio, SentinelOne, CrowdStrike, Microsoft Powershell, Microsoft Defender ATP, Carbon Black, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
A regra é mapeada para o Framework MITRE ATT&CK® abordando táticas de Coleta e a técnica de Coleta de E-mails (T1114).
Inscreva-se gratuitamente no Threat Detection Marketplace e acesse a plataforma líder da indústria de Conteúdo-como-Serviço (CaaS) que impulsiona o fluxo de trabalho completo de CI/CD para detecção de ameaças. Nossa biblioteca agrega mais de 100 mil itens de conteúdo SOC qualificados, de fornecedores e ferramentas cruzadas, mapeados diretamente para os frameworks CVE e MITRE ATT&CK®. Entusiasmado para criar suas próprias regras Sigma? Junte-se ao nosso programa de Recompensa por Ameaças e seja recompensado por sua contribuição!
