Tehdit aktörleri, daha sonraki erişim için arka kapı yüklemek için proxyshell güvenlik açığını kullanarak Microsoft Exchange sunucularını aktif olarak kullanır.
Proxyshell, kimliği doğrulanmamış, uzak kod yürütülmesi için üç zincirli Microsoft Exchange güvenlik açığını kullanan bir saldırının adıdır.
Aşağıda listelenen üç güvenlik açığı, Nisan ayının PWN2own 2021 Hack Yarışması'nda bir Microsoft Exchange Server'ı ele geçirmek için onları bir araya getiren Devcore Prensip Güvenlik Araştırmacı Orange Tsai tarafından keşfedildi.
Geçen hafta, Orange Tsai, Microsoft Exchange Client Access Service (CAS) saldırı yüzeyini hedef alarken keşfettiği son Microsoft Exchange güvenlik açıkları hakkında siyah bir şapka konuştu.
TSAI, Proxyshell Exploit'in, konuşmanın bir parçası olarak bir SSRF saldırısını gerçekleştirmek için Microsoft Exchange'in Autodiscover özelliğini kullandığını ortaya koydu.
Konuşmayı izledikten sonra, Güvenlik Araştırmacıları Peterjson ve Nguyen Jang, Proxyshell Exploit'in başarıyla çoğaltılması hakkında daha ayrıntılı teknik bilgiler yayınladı.
Yakında, güvenlik araştırması yapan Kevin Beaumont, Microsoft Exchange Sunucuları için Proxyshell'e açık olan Microsoft Exchange sunucuları için taramaya yönelik tehdit aktörlerinin taramasını görmeye başladı.
Bugün, Beaumont ve NCC grubunun güvenlik açığı araştırmacısı zengin Warren, tehdit aktörlerinin, Proxyshell güvenlik açığını kullanarak Microsoft Exchange Honeypots'larını kullandığını açıkladı.
Microsoft Exchange'i sömürürken, saldırganlar şöyle bir ilk URL kullanıyorlar:
NOT: URL'de listelenen e-posta adresi var olmak zorunda değildir ve saldırganlar arasında değişmek zorunda değildir.
Kullanıcı, şu anda 'C: \ Inetpub \ wwwroot \ ASPNET_Client \' klasörüne 265kb boyutunda bir webshell'i bırakıyor.
Geçen hafta JANG, PST Dosyaları oluşturmak için Exchange PowerShell'in Posta Kutusu İhracat işlevinin kötüye kullanılmasından dolayı, PROXYSHELL Exchange Fonksiyonunun kötüye kullanılmasından dolayı, PROXYSHELL Exchange Fonksiyonu kullanılarak oluşturulabilecek minimum dosya boyutu olan BleepingComputer'a açıklandı.
Warren tarafından BleepingComputer ile paylaşılan bir örneklemden, webshells, tehdit aktörlerinin, tehlikeli Microsoft Exchange sunucusuna dosya yüklemek için kullanabileceği basit bir kimlik doğrulama korumalı komut dosyasından oluşur.
Warren, tehdit aktörlerinin, aşağıda listelenen listelenen C: \ Windows \ System32 klasörlerine uzaktan erişilebilen bir klasöre ve iki çalıştırılabilir dosyaya ek bir webshell'i yüklemek için ilk WebShell'i kullandığını söyledi:
İki çalıştırma bulunamıyorsa, başka bir WebShell, aşağıdaki klasörde rastgele ASPX dosyaları olarak oluşturulacaktır.
Saldırganlar, 'Createhidetask.exe,' 'PowerManager' adlı 'PowerManager' adlı 'PowerManager' adlı 'PowerManager' adlı 'PowerManager' adlı 'PowerMaTask.exe' adlı zamanlanmış bir görevi oluşturan ikinci webshell'i kullanır.
Warren, BleepingComputer'a ApplicationUpdate.exe'nin yürütülebilir dosyasının, arka kapı olarak kullanılan özel bir .NET yükleyici olduğunu söyledi.
"ApplicationUpdate.exe, Warren'u açıklayan bir uzak sunucudan (şu anda iyi bir ödeme işlemi sunan) başka bir .NET ikili olan .NET yükleyicidir" dedi.
Mevcut yükün iyi huylu olsa da, yeterince sunucudan dolayı kötü amaçlı bir yükle değiştirilmesi bekleniyor.
Siber Güvenlik İstihbarat Firması Bad Paketler, BleepingComputer'a şu anda Tehdit Oyuncuları, ABD, İran ve Hollanda'daki IP adreslerinden korunmasız Proxyshell aygıtları için taradığınızı gördüklerini söyledi.
Bilinen adresler şunlardır:
Badpackets ayrıca taramalarda kullanılan e-posta alanlarının @ Abc.com ve @ 1337.com'un aşağıda gösterildiği gibi olduğunu söyledi.
Artık tehdit aktörlerinin aktif olarak savunmasız Microsoft Exchange sunucularını sömürdüğü, Beaumont, cihazlarının tarandığını kontrol etmek için Azure Sentinel sorgularını gerçekleştirmelerini tavsiye eder.
Son zamanlarda Microsoft Exchange sunucusunu güncellememiş olanlar için, hemen yapılması şiddetle tavsiye edilir.
Önceki proxylogon saldırıları, maruz kalan sunucularda fidye yazılımı, kötü amaçlı yazılım ve veri hırsızlığına yol açtığından, muhtemelen proxyshell kullanarak benzer saldırılar göreceğiz.
Microsoft Exchange Sunucuları Proxyshell Güvenlik Açığı için Taranan, Şimdi Yama
Microsoft, Windows Yazdırma Biriktiricisi PrintNightMare Güvenlik Açığı düzeltti
Microsoft Ağustos 2021 Yama Salı Düzeltmeler 3 Sıfır Gün, 44 Kusur
Microsoft'un eksik printnightMare yaması güvenlik açığını düzeltemez
Microsoft, başka bir Windows yazdırma biriktiricisi sıfır gün böcek onaylar
Kaynak: Bleeping Computer