Атака на Microsoft Exchange с помощью ProxyShell

Новая группа вымогателей, именуемая как LockFile, занимается взломом серверов Microsoft Exchange и шифрованием доменов Windows с использованием недавно обнаруженных уязвимостей ProxyShell.

ProxyShell - это атака на Microsoft Exchange с помощью трёх (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207), связанных между собой, уязвимостей. Она позволяет удалённо выполнять код без аутентификации. Microsoft устранила эти уязвимости ещё в мае 2021 года, но недавно были раскрыты дополнительные технические детали, которые дали эксплойту вторую жизнь.

Злоумышленники начали активно сканировать и взламывать сервера компании. После использования сервера Exchange, киберпреступники загружали веб-шелл на него, который давал доступ для более обширных действий. При проникновении в сеть, LockFile сначала получала доступ к серверу Exchange, используя атаку ProxyShell, а после использовала уязвимость PetitPotam для захвата доменов Windows и шифрования устройств.

Чтобы исправить уязвимости ProxyShell, необходимо установить последние обновления Microsoft Exchange. Атаку PetitPotam устранить не так просто, поскольку обновления безопасности Microsoft не исправляют все векторы уязвимостей. Чтобы заблокировать этот вектор атаки ретрансляции NTLM, можно установить неофициальный патч от 0patch, либо же применить фильтры NETSH RPC, которые блокируют доступ к уязвимым функциям в MS-EFSRPC API.

Источник: vk.com

Комментарии: