La Agencia de Seguridad Cibernética e Infraestructura de EE. UU. advierte contra los intentos de uso proactivo utilizando la última línea de «ProxyShellVulnerabilidades en Microsoft Exchange que se corrigieron a principios de mayo de este año, incluida la implementación del ransomware LockFile en sistemas comprometidos.
Estas vulnerabilidades, que se rastrean como CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207, permiten a los oponentes eludir los controles de ACL, aumentar los permisos en el backend de Exchange PowerShell y permitir efectivamente que un atacante ejecute ataques remotos no autenticados. ejecución de código. Si bien los dos primeros se dirigieron a Microsoft el 13 de abril, la corrección para CVE-2021-31207 se envió como parte de las correcciones de parches de mayo de Windows.
“Un atacante que aproveche estas vulnerabilidades podría ejecutar código arbitrario en una computadora vulnerable”, dijo CISA.
El desarrollo se produce poco más de una semana después de que los investigadores de seguridad cibernética hicieran sonar la alarma sobre el escaneo oportunista y la explotación de servidores Exchange no reparados mediante la explotación de la cadena de ataque ProxyShell.
Originalmente demostrado en la competencia de piratería Pwn2Own en abril de este año, ProxyShell es parte de un trío más amplio de cadenas de explotación descubiertas por el investigador de seguridad DEVCORE Orange Tsai, que incluye ProxyLogon y ProxyOracle, este último aborda dos errores de ejecución remota de código que podrían usarse para restablecer la contraseña del usuario en texto claro.
«Estas son cajas de puerta trasera de shell web que lanzan otros shells web, así como archivos ejecutables que se invocan regularmente», dijo el investigador Kevin Beaumont. El lo notó la semana pasada.
Se han implementado al menos cinco estilos diferentes de shells web en servidores vulnerables de Microsoft Exchange, con más de 100 incidentes relacionados con exploits informados entre el 17 y el 18 de agosto, según investigadores de Huntress Labs. Los shells web permiten a los atacantes acceder a servidores comprometidos de forma remota, pero no está claro exactamente cuáles son los objetivos o en qué medida se han explotado todas las vulnerabilidades.
Hasta la fecha, se han detectado más de 140 shells web en al menos 1900 servidores Exchanger sin reparar, dijo el CEO de Huntress Labs, Kyle Hanslovan. tuiteó, agrega «preocupado [organizations] hasta el momento incluyen construcción, procesadores de mariscos, maquinaria industrial, garajes, pequeños aeropuertos residenciales y más”.
