CISA emite alerta urgente sobre ProxyShell em Exchange

CISA emite alerta urgente sobre ProxyShell em Exchange e recomenda aplicação imediata de patchs nos servidores, vulnerabilidade estaria sendo explorada ativamente.

A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) emitiu um alerta para alertar os administradores a abordar vulnerabilidades ProxyShell exploradas ativamente em servidores Microsoft Exchange locais.

ProxyShell é o nome de três vulnerabilidades que podem ser encadeadas por um invasor remoto não autenticado para obter a execução de código em servidores Microsoft Exchange.

As três vulnerabilidades usadas em ataques ProxyShell são:

As vulnerabilidades são exploradas remotamente por meio do Client Access Service (CAS) do Microsoft Exchange em execução na porta 443 no IIS.

As vulnerabilidades foram descobertas pelo pesquisador de segurança  Tsai orange  da Devcore, que recebeu US$ 200.000 pela descoberta durante o concurso de hacking Pwn2Own de abril de 2021. Orange Tsai deu uma palestra na   conferência Black Hat e compartilhou detalhes sobre as vulnerabilidades do Microsoft Exchange.

Tsai explicou que a cadeia de ataques do ProxyShell tem como alvo vários componentes no Microsoft Exchange, incluindo o  Serviço Autodiscover,  que é usado por aplicativos cliente para se configurar com o mínimo de entrada do usuário.

“Atores cibernéticos mal-intencionados estão explorando ativamente as seguintes vulnerabilidades do ProxyShell: CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207”, diz o alerta publicado pela CISA.“Um invasor que explora essas vulnerabilidades pode executar código arbitrário em uma máquina vulnerável. A CISA recomenda fortemente que as organizações identifiquem sistemas vulneráveis ​​em suas redes e apliquem imediatamente a Atualização de Segurança da Microsoft de maio de 2021 – que corrige todas as três vulnerabilidades do ProxyShell – para se proteger contra esses ataques. ”

O popular especialista em segurança cibernética Kevin Beaumont foi um dos primeiros pesquisadores a identificar um ator de ameaça que tentava ter como alvo instalações do Microsoft Exchange.

Os agentes da ameaça  começaram a escanear ativamente  as falhas de execução remota de código do Microsoft Exchange ProxyShell depois que os pesquisadores divulgaram detalhes técnicos na conferência de hackers Black Hat.

Os agentes de ameaças primeiro comprometem um servidor Microsoft Exchange e, em seguida, exploram as falhas para soltar shells da web que podem ser usados ​​para instalar e executar outras cargas maliciosas.

Depois de explorar um servidor Exchange, os agentes da ameaça soltaram shells da web que poderiam ser usados ​​para carregar outros programas e executá-los.

Recentemente, uma nova gangue de ransomware chamada LockFile foi identificada como alvo de servidores Microsoft Exchange usando as vulnerabilidades ProxyShell divulgadas recentemente  . 

Especialistas em segurança da Symantec relataram que a gangue Lockfile primeiro compromete os servidores Microsoft Exchange e depois usa a vulnerabilidade PetitPotam para assumir o controle de um controlador de domínio.

Pesquisadores da empresa de segurança Huntress Labs  descobriram mais de 140 shells da web implantados por invasores em mais de 1.900 servidores Microsoft Exchange comprometidos até a semana passada.

Fonte: Security Affairs
Veja também:
About mindsecblog 1443 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

5 Trackbacks / Pingbacks

  1. Microsoft Power Apps mau configurado vaza dados sensíveis de centenas de portais
  2. LockFile Ransomware explora ProxyShell em Servidores Microsoft Exchange
  3. CISA avisa clientes da Atlassian para atualizarem seus sistemas
  4. Netgear corrige bugs de segurança graves em switches inteligentes
  5. Data Privacy Commissioner (DPC) multa WhatsApp em € 225 milhões

Deixe sua opinião!