🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
Tipo de aconselhamento
Inteligência de vulnerabilidadeCadeia CVE
TAMPA DA CAVERNA
Pontuação CVSS
CVE-2021-268559.1CVE-2021-268577,8CVE-2021-268587,8CVE-2021-270657,8Lista de ameaças
Hafnium (ator nacional), UNC2639, UNC2640 e UNC2643 Criptomineradores WebShells não autorizados Ransomware DearCrySistema afetado
(Somente no local) Microsoft Exchange Servers 2019, 2016, 2013Plataforma
JanelaSumário executivo
O Proxylogon é uma cadeia de vulnerabilidades (CVE-26855/26857/ 26858/27065) que são ativamente exploradas na natureza por gangues de ransomware e atores de estados-nação. A intenção deles é comprometer as instâncias do Exchange voltadas para a Internet para ganhar espaço na rede de destino. O agente da ameaça autentica o acesso do usuário ao servidor Exchange explorando o CVE-2021-26855. Em seguida, eles gravam webshells/malware no servidor vulnerável, o que permite ao atacante explorar qualquer uma das falhas listadas, CVE-26857/26858/27065, levando a um ataque RCE.Campanhas recentes de Hafnium
Com base na inteligência coletada de várias fontes, no início de janeiro, ator do estado-nação Háfnio servidores Exchange direcionados com códigos de exploração de dia zero. Alegadamente, a campanha ainda está ativa e indica o envolvimento chinês em operações de espionagem voltadas principalmente para estados norte-americanos, especificamente entidades governamentais e empresas de tecnologia. O Hafnium, junto com outros agentes de ameaças, realizou uma fase pós-exploração envolvendo as seguintes ferramentas e táticas:Táticas
Procedimento/Ferramentas
Execução de comandosWebShells ASPX/PHPDespejo de credenciaisrundll32 C:\windows\system32\comsvcs.dll MiniDump lsass.dmpMovimento lateralPsExecPersistência Adição de usuário de conta de domínioExfiltraçãoUtilitário de linha de comando WinRAR para arquivar dados para exfiltraçãoDetalhes técnicos
Os atacantes se conectam aos servidores do Exchange pela porta 443, pela Internet. Depois que o agente da ameaça estabelece contato com o servidor de destino, ele aproveita o encadeamento de explorações do proxylogon para comprometer o sistema.CVE-2021-26855 (Pré-autenticação) é uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) no Exchange que permite ao atacante enviar solicitações HTTP arbitrárias e autenticar o servidor Exchange.CVE-2021-26857 (Pós-autenticação) é uma vulnerabilidade de desserialização insegura no serviço de Unificação de Mensagens. A desserialização insegura ocorre quando dados não confiáveis controláveis pelo usuário são desserializados por um programa. Os atacantes podem obter o privilégio SYSTEM no servidor Exchange, o que é equivalente ao usuário root em máquinas Linux.CVE-2021-26858 Vulnerabilidade de gravação arbitrária de arquivos (pós-autenticação) no Exchange. O invasor associa essa falha à vulnerabilidade SSRF CVE-2021-26855 ou compromete as credenciais de um administrador legítimo.CVE-2021-27065 Vulnerabilidade de gravação arbitrária de arquivos (pós-autenticação) no Exchange. O invasor o vincula à vulnerabilidade SSRF CVE-2021-26855 ou compromete as credenciais de um administrador legítimo.Impacto
- Os invasores podem recuperar e-mails de qualquer usuário por meio de solicitações SOAP XML especialmente criadas e enviadas ao servidor.
- Um invasor pode obter privilégios administrativos no servidor com recursos de RCE ao encadear as vulnerabilidades do Proxylogon. Assim, comprometendo o acesso total ao sistema.
- Os atacantes atacam os servidores Exchange para se firmar na rede alvo e, posteriormente, implantar ransomware, criptomineradores ou para fins de espionagem.
