ผู้ไม่หวังดีกำลังใช้ประโยชน์จากช่องโหว่ ProxyShell เพื่อติดตั้งแบ็คดอร์สำหรับการเข้าถึง Microsoft Exchange
ProxyShell เป็นชื่อของการโจมตีที่ใช้ช่องโหว่ของ Microsoft Exchange ที่เกี่ยวข้องกันสามช่องโหว่ เพื่อเรียกใช้งานโค้ดที่เป็นอันตราย จากระยะไกลโดยไม่ผ่านการตรวจสอบสิทธิ์
ช่องโหว่ทั้งสามตามรายการ ถูกค้นพบโดย Orange Tsai นักวิจัยด้านความปลอดภัยของ Devcore Principal ซึ่งเชื่อมโยงช่องโหว่เหล่านี้เข้าด้วยกันเพื่อเข้าควบคุมเซิร์ฟเวอร์ Microsoft Exchange ในการแข่งขันแฮ็ก Pwn2Own 2021 ในเดือนเมษายน
CVE-2021-34473 - Pre-auth Path Confusion leads to ACL Bypass (Patched in April by KB5001779)
CVE-2021-34523 - Elevation of Privilege on Exchange PowerShell Backend (Patched in April by KB5001779)
CVE-2021-31207 - Post-auth Arbitrary-File-Write leads to RCE (Patched in May by KB5003435)
เมื่อสัปดาห์ที่แล้ว Orange Tsai ได้พูดใน Black Hat เกี่ยวกับช่องโหว่ของ Microsoft Exchange ล่าสุดที่เขาค้นพบ โดยพบช่องโหว่นี้ในตอนที่เขากำลังกำหนดเป้าหมายการโจมตีไปที่ Microsoft Exchange Client Access Service (CAS)Tsai เปิดเผยในการพูดคุยในงานว่าการโจมตีที่ใช้ ProxyShell นั้นอาศัยการค้นหาอัตโนมัติของ Microsoft Exchange เพื่อทำการโจมตี SSRF
หลังจากงาน Black Hat แล้ว นักวิจัยด้านความปลอดภัย PeterJson และ Nguyen Jang ได้เผยแพร่ข้อมูลทางเทคนิคโดยละเอียดเพิ่มเติมเกี่ยวกับการสร้าง Exploits ProxyShell ที่ใช้ในการโจมตีได้สำเร็จ
และ หลังจากนั้นไม่นาน นักวิจัยด้านความปลอดภัย Kevin Beaumont เริ่มสังเกตุเห็นผู้ไม่หวังดีสแกนหาเซิร์ฟเวอร์ Microsoft Exchange ที่เสี่ยงต่อการถูกโจมตีด้วย ProxyShell
Rich Warren นักวิจัยด้านช่องโหว่ของ Beaumont และ NCC Group ก็ได้มีเปิดเผยว่าผู้ไม่หวังดีได้โจมตี Honeypots ของ Microsoft Exchange โดยใช้ช่องโหว่ ProxyShell ในการโจมตี
เมื่อมีการโจมตีเซิร์ฟเวอร์ Microsoft Exchange ผู้ไม่หวังดีมักจะใช้ URL นี้ในการเริ่มโจมตี
https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com
*หมายเหตุ: ไม่จำเป็นต้องมีที่อยู่อีเมลระบุใน URL และผู้โจมตีสามารถเปลี่ยนแปลงที่อยู่อีเมลระหว่างการโจมตีได้
ในช่วงที่โจมตีช่องโหว่ จะมีการวางเว็บเชลล์ที่มีขนาด 265KB ลงในโฟลเดอร์ 'c:\inetpub\wwwroot\aspnet_client\'
Jang อธิบายกับ BleepingComputer ว่า 265KB เป็นขนาดไฟล์ขั้นต่ำที่สามารถสร้างจาก ProxyShell โดยใช้ประโยชน์จากฟังก์ชัน Mailbox Export ของ Exchange Powershell เพื่อสร้างไฟล์ PST
จากตัวอย่างที่ Warren ให้ข้อมูลกับ BleepingComputer เว็บเชลล์ประกอบด้วยสคริปต์ป้องกันการตรวจสอบสิทธิ์อย่างง่ายที่ผู้ไม่หวังดีสามารถใช้เพื่ออัปโหลดไฟล์ไปยังเซิร์ฟเวอร์ Microsoft Exchange ที่ถูกโจมตี
Warren กล่าวว่าผู้ไม่หวังดีใช้เว็บเชลล์แรกเพื่ออัปโหลดเว็บเชลล์ตัวอื่นๆไปยังโฟลเดอร์ที่เข้าถึงได้จากระยะไกล และเรียกใช้งานไฟล์สองรายการไปยังโฟลเดอร์ C:\Windows\System32 ตามรายการด้านล่าง:
C:\Windows\System32\createhidetask.exe
C:\Windows\System32\ApplicationUpdate.exe
หากไม่พบไฟล์ทั้งสองรายการ ระบบจะสร้างเว็บเชลล์อื่นในโฟลเดอร์ต่อไปนี้เป็นไฟล์ ASPX ที่มีชื่อแบบสุ่ม
C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\
ผู้ไม่หวังดีใช้เว็บเชลล์ตัวที่สองเพื่อเรียกใช้ 'createhidetask.exe' ที่จะสร้าง scheduled task ชื่อ 'PowerManager' ซึ่งมีหน้าที่เรียกใช้งาน 'ApplicationUpdate.exe' เวลา 1.00 น. ของทุกวัน
Warren บอกกับ BleepingComputer ว่า "ApplicationUpdate.exe ที่เรียกใช้งานได้คือ .NET loader แบบกำหนดเองที่ใช้เป็นแบ็คดอร์"
"ApplicationUpdate.exe เป็น .NET loader ซึ่งดึง .NET binary อื่นจากเซิร์ฟเวอร์ระยะไกล" Warren อธิบาย
แม้ว่าเพย์โหลดปัจจุบันจะไม่เป็นอันตราย แต่ก็คาดว่าจะถูกสลับกับเพย์โหลดที่เป็นอันตรายเมื่อผู้โจมตีสามารถเข้าควบคุมเซิร์ฟเวอร์ได้
บริษัท Bad Packets บริษัทข่าวกรองด้านความปลอดภัยทางไซเบอร์ให้ข้อมูลกับ BleepingComputer ว่าขณะนี้พวกเขาเห็นผู้ไม่หวังดีสแกนหาอุปกรณ์ที่มีช่องโหว่ ProxyShell จากที่อยู่ IP ในสหรัฐอเมริกา อิหร่าน และเนเธอร์แลนด์
ที่อยู่ IP ที่ทราบคือ:
3.15.221.32
194.147.142.0/24
BadPackets ยังกล่าวอีกว่าโดเมนอีเมลที่ใช้ในการสแกนนั้นมาจาก @abc.com และ @1337.com
ขณะนี้ผู้ไม่หวังดีกำลังพยายามโจมตีเซิร์ฟเวอร์ Microsoft Exchange ที่มีช่องโหว่ Beaumont แนะนำให้ผู้ดูแลระบบดำเนินการสืบค้นด้วย Azure Sentinel เพื่อตรวจสอบว่าอุปกรณ์ของพวกเขาถูกสแกนหรือไม่
เนื่องจากการโจมตี ProxyLogon ก่อนหน้านี้ทำให้เกิดแรนซัมแวร์ มัลแวร์ และการขโมยข้อมูลบนเซิร์ฟเวอร์ที่เปิดเผย เราจึงมีแนวโน้มที่จะเห็นการโจมตีที่คล้ายกันโดยใช้ ProxyShell
สำหรับผู้ที่ไม่ได้อัปเดตเซิร์ฟเวอร์ Microsoft Exchange เมื่อเร็วๆ นี้ ขอแนะนำให้ดำเนินการอัปเดตโดยทันที
ที่มา : bleepingcomputer.com
You must be logged in to post a comment.