Злоумышленники продолжают атаки на уязвимые перед багами ProxyLogon серверы Microsoft Exchange.
В настоящее время по меньшей мере десять хак-групп эксплуатируют ошибки ProxyLogon для установки бэкдоров на серверы Exchange по всему миру. По разным оценкам, количество пострадавших компаний и организаций уже достигло 30 000-100 000, и их число постоянно продолжает расти, равно как и количество атакующих.
Хуже того, по подсчетам экспертов Palo Alto Networks и Microsoft, в сети по-прежнему доступны около 80 000 уязвимых серверов Exchange, которые можно скомпрометировать.
В начале марта 2021 года инженеры Microsoft выпустили внеплановые патчи для четырех уязвимостей в почтовом сервере Exchange, которым исследователи дали общее название ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065).
Эти уязвимости можно объединить в цепочку, а их эксплуатация позволит злоумышленнику пройти аутентификацию на сервере Exchange, получить права администратора, установить малварь и похитить данные.
Шифровальщику дали имя DearCry и, похоже, он атакует преимущественно небольшие компании. Во всяком случае, такую информацию сообщает в своем Twitter MalwareHunterTeam.
Известно, что малварь добавляет к файлам на сервере дополнительное расширение .CRYPT и требует выкуп в размере от 50 000 до 110 000 долларов. При этом издание The Record пишет, что по оценкам ИБ-экспертов, этот вымогатель явно был создан в спешке и не имеет отношения к крупным и хорошо известным хак-группам.
Удаление инструмента вызвало немало споров в сообществе, а исследователь заявлял, что эксплоит был преднамеренно создан с ошибками. Однако его все равно удалили, а в компании заявили, нужно «помнить о необходимости сохранения безопасности более широкой экосистемы». То есть публиковать в открытом доступе эксплоит для подобной проблемы, когда уязвимо огромное количество серверов, – не слишком хорошая идея.
Как теперь пишет издание Bleeping Computer, в минувшие выходные другой неназванный исследователь опубликовал в сети еще один PoC-эксплоит для ProxyLogon. Это решение требует лишь небольшой модификации для использования с целью установки веб-шеллов.
Аналитик CERT/CC Уилл Дорман сообщил журналистам, что данный эксплоит требует минимальных изменений, и теперь ProxyLogon «доступен даже для скрипткидди».
На скриншотах ниже видно, как Дорман использовал эксплоит против сервера Microsoft Exchange, удаленно установил на него веб-шелл и выполнил команду whoami; доставил веб-шелл teset11.aspx в определенное место на сервере.
Источник: xakep.ru/2021/03/15/dearcry-and-new-poc/
В настоящее время по меньшей мере десять хак-групп эксплуатируют ошибки ProxyLogon для установки бэкдоров на серверы Exchange по всему миру. По разным оценкам, количество пострадавших компаний и организаций уже достигло 30 000-100 000, и их число постоянно продолжает расти, равно как и количество атакующих.
Хуже того, по подсчетам экспертов Palo Alto Networks и Microsoft, в сети по-прежнему доступны около 80 000 уязвимых серверов Exchange, которые можно скомпрометировать.
В начале марта 2021 года инженеры Microsoft выпустили внеплановые патчи для четырех уязвимостей в почтовом сервере Exchange, которым исследователи дали общее название ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065).
Эти уязвимости можно объединить в цепочку, а их эксплуатация позволит злоумышленнику пройти аутентификацию на сервере Exchange, получить права администратора, установить малварь и похитить данные.
Шифровальщик
Как сообщает создатель ID-Ransomware Майкл Гиллеспи, на уязвимые серверы уже устанавливают не только веб-шеллы и майнеры, но и шифровальщики. Пока таких пострадавших насчитывается всего шесть (в Австрии, Австралии, Канаде, Дании и США).Шифровальщику дали имя DearCry и, похоже, он атакует преимущественно небольшие компании. Во всяком случае, такую информацию сообщает в своем Twitter MalwareHunterTeam.
Известно, что малварь добавляет к файлам на сервере дополнительное расширение .CRYPT и требует выкуп в размере от 50 000 до 110 000 долларов. При этом издание The Record пишет, что по оценкам ИБ-экспертов, этот вымогатель явно был создан в спешке и не имеет отношения к крупным и хорошо известным хак-группам.
Новые эксплоиты
Как мы писали на прошлой неделе, с GitHub был удален полноценный PoC-эксплоит для ProxyLogon, созданный независимым ИБ-исследователем из Вьетнама.Удаление инструмента вызвало немало споров в сообществе, а исследователь заявлял, что эксплоит был преднамеренно создан с ошибками. Однако его все равно удалили, а в компании заявили, нужно «помнить о необходимости сохранения безопасности более широкой экосистемы». То есть публиковать в открытом доступе эксплоит для подобной проблемы, когда уязвимо огромное количество серверов, – не слишком хорошая идея.
Как теперь пишет издание Bleeping Computer, в минувшие выходные другой неназванный исследователь опубликовал в сети еще один PoC-эксплоит для ProxyLogon. Это решение требует лишь небольшой модификации для использования с целью установки веб-шеллов.
Аналитик CERT/CC Уилл Дорман сообщил журналистам, что данный эксплоит требует минимальных изменений, и теперь ProxyLogon «доступен даже для скрипткидди».
На скриншотах ниже видно, как Дорман использовал эксплоит против сервера Microsoft Exchange, удаленно установил на него веб-шелл и выполнил команду whoami; доставил веб-шелл teset11.aspx в определенное место на сервере.
Источник: xakep.ru/2021/03/15/dearcry-and-new-poc/