Lembre-se da grande quantidade de vulnerabilidades que colocam os servidores Microsoft Exchange em risco de vários ataques?
Vulnerabilidades ProxyLogon Usadas em Ataques Cryptojacking
Agora, outro perigo deve ser adicionado à lista de ameaças - cryptojacking, também conhecido como mineração de criptomoeda. Os pesquisadores da SophosLabs descobriram que os invasores que exploram os servidores Exchange agora estão usando os servidores comprometidos para hospedar um minerador Monero. Outras ameaças contra esses servidores incluem ataques APT, ransomware, e webshells.
“A equipe da SophosLabs estava inspecionando a telemetria quando se deparou com um ataque incomum direcionado ao servidor Exchange de um cliente. O ataque começa com um comando do PowerShell para recuperar um arquivo chamado win_r.zip do caminho de logon do Outlook Web Access de outro servidor comprometido (/owa / auth)," o relatório revelou.
Um agente de ameaça não identificado tem tentado aproveitar o exploit ProxyLogon para impor um criptominerador Monero aos servidores Exchange. A carga útil em si também está hospedada em um servidor Exchange comprometido.
Os executáveis associados ao ataque são conhecidos como Mal / Inject-GV e XMR-Stak Miner (PUA). O relatório também compartilhou uma lista completa de indicadores de comprometimento para ajudar as organizações a identificar se foram atacadas.
Mais sobre as vulnerabilidades do ProxyLogon
o vulnerabilidades que afetam o Microsoft Exchange Server são CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, e CVE-2021-27065. As versões afetadas incluem Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, e Microsoft Exchange Server 2019.
As falhas são usadas como parte de uma cadeia de ataque, conhecido como ProxyLogon. Para ser iniciado com sucesso, um ataque requer uma conexão não confiável a uma porta específica do servidor Exchange, 443. Esta lacuna pode ser protegida restringindo a conexão não confiável, ou configurando uma VPN para separar o servidor do acesso externo. Contudo, esses truques de mitigação oferecem apenas proteção parcial. A empresa avisa que outras partes do ataque em cadeia podem ser acionadas se um invasor já tiver acesso ou puder convencer um administrador a executar um arquivo malicioso.
Vale ressaltar que em março passado, grupos de hackers patrocinados pelo estado estavam explorando CVE-2020-0688, outra vulnerabilidade em servidores de e-mail Microsoft Exchange. Então, em maio, o servidor Exchange foi atacado pelos chamados Valar Trojan. O ataque de malware tinha como alvo as vítimas principalmente na Alemanha e nos EUA, em um cenário de ameaça avançado entregue aos sistemas vulneráveis em uma forma de vários estágios.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: