De acordo com alerta divulgado pelos EUA. Agência de Segurança Cibernética e Infraestrutura (CISA), os cibercriminosos estão explorando atualmente as chamadas vulnerabilidades do ProxyShell Microsoft Exchange: CVE-2021-34473, CVE-2021-34523, e CVE-2021-31207.
CISA alerta contra ataques ProxyShell
o forte conselho da agência é para as organizações identificarem sistemas vulneráveis em suas redes e corrigi-los por meio da atualização de segurança da Microsoft de Maio 2021.
A atualização corrige todas as três falhas do ProxyShell e protege contra os ataques. Se os sistemas vulneráveis permanecerem sem correção, os atores da ameaça podem explorar as falhas para executar a execução arbitrária de códigos.
As vulnerabilidades foram demonstradas no início deste ano durante o concurso de hacking Pwn2Own. De fato, o exploit ProxyShell é parte de uma cadeia mais extensa que consiste em exploits ProxyLogon e ProxyOracle.
As vulnerabilidades do ProxyLogon
As vulnerabilidades do ProxyLogon incluem CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, e CVE-2021-27065. As versões afetadas incluem Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, e Microsoft Exchange Server 2019.
Para ser iniciado com sucesso, um ataque requer uma conexão não confiável a uma porta específica do servidor Exchange, 443. Esta lacuna pode ser protegida restringindo a conexão não confiável, ou configurando uma VPN para separar o servidor do acesso externo. Contudo, esses truques de mitigação oferecem apenas proteção parcial. Os pesquisadores de segurança alertam que outras partes do ataque em cadeia podem ser acionadas se um invasor já tiver acesso ou puder convencer um administrador a executar um arquivo malicioso.
O ProxyOracle Exploit
“Comparado com ProxyLogon, ProxyOracle é um exploit interessante com uma abordagem diferente. Simplesmente levando um usuário a visitar um link malicioso, O ProxyOracle permite que um invasor recupere a senha do usuário em formato de texto simples completamente,”Pesquisador de segurança Orange Tsai escrevi alguns meses atrás. ProxyOracle consiste em dois bugs: CVE-2021-31195 e CVE-2021-31196.
Em termos dos ataques atuais com base na exploração ProxyShell, Hacker ético Kevin Hanslovan recentemente tweetou que ele “tem visto 140+ webshells em 1900+ caixas não corrigidas em 48 horas. Organizações afetadas até agora incluem a construção de mfgs, processadores de frutos do mar, maquinaria industrial, oficinas de conserto de automóveis, um pequeno aeroporto residencial e muito mais.” Para repetir o conselho urgente da CISA, as organizações devem identificar redes vulneráveis para evitar esses ataques.