Команда Cybereason GSOC Managed Detection and Response (MDR) расследует инциденты, связанные с эксплуатацией критических уязвимостей Microsoft Exchange - CVE-2022-41040 и CVE-2022-41082, также известных как ProxyNotShell.
ProxyNotShell
На момент написания этой статьи Microsoft и другие компании по безопасности сообщили, что эксплуатация этих уязвимостей по-прежнему ограничивается целевыми атаками. Массовая эксплуатация этой уязвимости маловероятна до тех пор, пока не будет опубликовано доказательство концепции эксплуатации, а также в связи с тем, что для ее использования требуется действующая учетная запись электронной почты.
Эти уязвимости затрагивают следующие версии Exchange Server: Exchange Server 2013, Exchange Server 2016 и Exchange Server 2019. ZDI предоставила видео доказательства концепции, демонстрирующее удаленную атаку и выполнение системной команды с привилегиями системы.
Cybereason Global Security Operations Center (GSOC) выпускает Cybereason Threat Alerts для информирования клиентов о возникающих угрозах, включая такие критические уязвимости, как ProxyNotShell. Cybereason Threat Alerts обобщает эти угрозы и дает практические рекомендации по защите от них.
- Уязвимости нулевого дня в Microsoft Exchange: Критические уязвимости Microsoft Exchange - CVE-2022-41040 и CVE-2022-41082, также известные как ProxyNotShell, позволяют аутентифицированным злоумышленникам выполнять произвольные команды на скомпрометированных системах. Это может привести к полной компрометации системы и/или развертыванию вредоносного ПО.
- Эксплуатируется в течение месяца: данная уязвимость была выявлена благодаря известной эксплуатации. На сегодняшний день команда Cybereason MDR не наблюдала злоумышленников, эксплуатирующих эти уязвимости в клиентских средах.
- Сходство с ProxyLogon и ProxyShell: первой эксплуатируемой уязвимостью является еще одна уязвимость SSRF, схожая с начальным вектором ProxyShell и ProxyLogon.
- Действия после эксплойта, обнаруженные Cybereason: Платформа защиты Cybereason генерирует обнаружения после эксплуатации этих уязвимостей. На момент написания статьи компания Microsoft еще не выпустила патч для уязвимости ProxyNotShell, но предоставила смягчающие меры. Cybereason оценивает эту угрозу как ВЫСОКУЮ.
Эксплуатация уязвимости ProxyNotShell позволяет злоумышленнику, владеющему действующей учетной записью почтового сервера, выполнять произвольные команды на взломанных системах, что может привести к полной компрометации системы и/или развертыванию вредоносного ПО.
Microsoft указала, что злоумышленнику необходимо пройти аутентификацию на уязвимом сервере Exchange Server, прежде чем он сможет использовать CVE-2022-41040, что делает его значительно менее критичным, чем масштабные уязвимости ProxyLogon или ProxyShell. Однако стандартной учетной записи достаточно для запуска цепочки эксплуатации.
Злоумышленники, использующие уязвимость ProxyNotShell, обычно устанавливают веб-оболочки на взломанных серверах Microsoft Exchange для проведения дальнейших действий после взлома, таких как загрузка и выполнение дополнительных полезных нагрузок.
Злоумышленники часто развертывают веб-оболочки в виде файлов .aspx и размещают их в каталогах, связанных с компонентом Microsoft Internet Information Services (IIS), например inetpub\wwwroot\aspnet_client.
Команды, которые злоумышленники выполняют через веб-оболочки, выполняются в контексте процесса w3wp.exe, рабочего процесса для IIS.
Две уязвимости ProxyNotShell могут быть объединены вместе для удаленного выполнения кода на удаленном сервере Microsoft Exchange.
Уязвимость SSRF (CVE-2022-41040)
Эта уязвимость позволяет аутентифицированному злоумышленнику делать запросы так, как будто машина-жертва выполняет запрос. Это хорошо объяснено во многих блогах, например, в блоге PortSwigger.
Веб-путь эксплуатации этой уязвимости похож на предыдущие эксплойты Exchange, ProxyShell и ProxyLogon:
@vulnserver.com/autodiscover/autodiscover.json?@evil.com/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json%3f@evil.com.
В этом пути evil.com - это домен, который будет запрашиваться уязвимым сервером Exchange.
Чтобы объединить эту уязвимость со следующей, представленной в этой статье, evil.com должен быть заменен на домен, контролируемый злоумышленником.
Удаленное выполнение кода (CVE-2022-41082)
Эта уязвимость позволяет аутентифицированному злоумышленнику выполнить произвольный код Powershell. При эксплуатации уязвимости злоумышленники могут получить сеанс Powershell удаленно, поскольку этот механизм доступен непосредственно из Exchange. Затем они могут выполнять системные команды после оценки команд, которые они отправляют на сервер.
Для этой уязвимости также необходим аутентифицированный пользователь.
Известные пост-эксплойты
GTSC задокументировала различные действия после эксплуатации, наблюдаемые в средах своих клиентов.
Во-первых, после эксплуатации уязвимости ProxyNotShell злоумышленники развертывают веб-оболочку. Были определены различные пути после задокументированной эксплуатации уязвимостей ProxyNotShell:
- C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx
- C:\inetpub\wwwroot\aspnet_client\Xml.ashx
- C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\pxh4HG1v.ashx
Развернутые веб-оболочки, наблюдаемые GTSC, были простыми ChinaChopper, позволяющими выполнять команды через веб-параметры GET или POST.
Использование веб-оболочки позволяет злоумышленнику выполнять действия с клавиатурой на сервере Exchange.
GTSC задокументировала такие действия после эксплойта, как :
- Обнаружение AD с помощью таких инструментов, как AdFind (ad.exe)
- сброс учетных данных и распространение сброшенных файлов
- Внедрение вредоносных DLL в системные процессы
- Выполнение вредоносных файлов через WMIC
Indicators of Compromise
IPv4
- 103.9.76.208
- 103.9.76.211
- 104.244.79.6
- 112.118.48.186
- 122.155.174.188
- 125.212.220.48
- 125.212.241.134
- 137.184.67.33
- 185.220.101.182
- 194.150.167.88
- 206.188.196.77
- 212.119.34.11
- 47.242.39.92
- 5.180.61.17
- 61.244.94.85
- 86.48.12.64
- 86.48.6.69
- 94.140.8.113
- 94.140.8.48
URLs
- hxxp://206.188.196.77:8080/themes.aspx
SHA256
- 074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82
- 29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3
- 45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9
- 65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5
- 76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e
- 9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0
- b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca
- be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257
- c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1
- c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2
Paths
- %ProgramFiles%\Microsoft\ExchangeServer\V15\FrontEnd\HttpProxy\owa\auth\errorEE.aspx
- %ProgramFiles%\Microsoft\ExchangeServer\V15\FrontEnd\HttpProxy\owa\auth\G1v.ashx
- %ProgramFiles%\Microsoft\ExchangeServer\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx
User-Agent
- antSword/v2.1