Các tin tặc đang tích cực tận dụng lỗ hổng bảo mật ProxyShell trên các máy chủ Microsoft Exchange để cài đặt các cửa hậu (backdoor).
Mục Lục

ProxyShell là tên của một cuộc tấn công tận dụng ba lỗ hổng bảo mật trên Microsoft Exchange Server nhằm thực thi mã lệnh tuỳ ý từ xa, mà không cần xác thực.
Ba lỗ hổng, được liệt kê dưới đây, được phát hiện bởi Orange Tsai – Nhà nghiên cứu bảo mật chính của Devcore, người đã liên kết chúng lại với nhau để chiếm quyền một máy chủ Microsoft Exchange trong cuộc thi hack Pwn2Own 2021 vào tháng Tư.
- CVE-2021-34473 – lỗ hổng cho phép Pybass ACL (Được vá vào tháng 4 qua bản vá có mã hiệu KB5001779)
- CVE-2021-34523 – Lỗ hổng leo thang đặc quyền trên Exchange PowerShell Backend (Được vá vào tháng 4 qua bản vá có mã hiệu KB5001779)
- CVE-2021-31207 – Post-auth Arbitrary-File-Write leads to RCE (Được vá vào tháng 5 qua bản vá có mã hiệu KB5003435)
Tuần trước, Orange Tsai đã nói chuyện với Black Hat về các lỗ hổng Microsoft Exchange mà anh ấy phát hiện gần đây khi nhắm mục tiêu vào Microsoft Exchange Client Access Service (CAS).
Trong cuộc thảo luận, Tsai tiết lộ rằng việc khai thác ProxyShell sử dụng tính năng AutoDiscover của Microsoft Exchange để thực hiện một cuộc tấn công SSRF.
Sau buổi nói chuyện, các nhà nghiên cứu bảo mật PeterJson và Nguyen Jang đã công bố thông tin kỹ thuật chi tiết hơn về việc thành công khai thác ProxyShell.
Ngay sau đó, nhà nghiên cứu bảo mật Kevin Beaumont bắt đầu thấy các tin tặc tiến hành quét các máy chủ Microsoft Exchange dễ bị tấn công bởi ProxyShell.
ProxyShell được tích cực khai thác để phảt tán các WebShell
Hôm nay Rich Warren, nhà nghiên cứu lỗ hổng bảo mật của Beaumont và NCC Group, đã tiết lộ rằng các tin tặc đã khai thác các honeypots Microsoft Exchange của họ bằng cách sử dụng lỗ hổng ProxyShell.
Khi khai thác Microsoft Exchange, những kẻ tấn công đang sử dụng URL có dạng:
https://Exchange-server/autodiscover/[email protected]/mapi/nspi/?&Email=autodiscover/autodiscover.json%[email protected]
Lưu ý: Địa chỉ email được liệt kê trong URL không cố định và thay đổi tuỳ theo từng tin tặc.
Chiến dịch khai thác hiện đang phát tán một webshell có kích thước 265KB vào thư mục ‘c:\inetpub\wwwroot\aspnet_client\’
Tuần trước, Jang đã giải thích rằng 265KB là kích thước tệp tối thiểu có thể được tạo bằng cách sử dụng khai thác ProxyShell tận dụng chức năng Mailbox Export của Exchange Powershell để tạo tệp PST.
Warren cho biết các tin tặc sử dụng webshell đầu tiên để tải lên một webshell bổ sung vào một thư mục có thể truy cập từ xa và hai tệp thực thi vào các thư mục C:\Windows\System32, được liệt kê bên dưới:
C:\Windows\System32\createhidetask.exe
C:\Windows\System32\ApplicationUpdate.exe
Nếu không tìm thấy hai tệp thực thi, một webshell khác sẽ được tạo trong thư mục sau dưới dạng tệp ASPX có tên ngẫu nhiên.
C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\
Những kẻ tấn công sử dụng webshell thứ hai để khởi chạy ‘createhidetask.exe’, tạo ra một task có tên ‘PowerManager’, khởi chạy tệp ‘ApplicationUpdate.exe’ lúc 1 giờ sáng hàng ngày.
Warren nói rằng tệp thực thi ApplicationUpdate.exe là một trình tải .NET tùy chỉnh được sử dụng như một cửa hậu: “ApplicationUpdate.exe là trình tải .NET tìm nạp một tệp nhị phân .NET khác từ một máy chủ từ xa (hiện đang cung cấp một tải trọng an toàn).
Mặc dù trọng tải hiện tại là an toàn, nhưng nó dự kiến sẽ được hoán đổi bằng một trọng tải độc hại sau khi các máy chủ bị xâm phạm.
Công ty tình báo an ninh mạng Bad Packets nói rằng họ hiện đang phát hiện các tác nhân đe dọa quét các thiết bị ProxyShell dễ bị tấn công từ các địa chỉ IP ở Mỹ, Iran và Hà Lan.
Các địa chỉ IP máy chủ của tin tặc bị phát hiện đến thời điểm hiện tại bao gồm:
- 3.15.221.32
- 194.147.142.0/24
- updating
BadPackets cũng cho biết rằng các địa chỉ email được sử dụng trong quá trình quét là từ @abc.com và @1337.com, như được hiển thị bên dưới.

Hiện các tin tặc đang tích cực khai thác các máy chủ Microsoft Exchange dễ bị tấn công, Beaumont khuyên quản trị viên nên thực hiện các truy vấn Azure Sentinel để kiểm tra xem thiết bị của họ đã bị quét chưa.
W3CIISLog
| where csUriStem == "/autodiscover/autodiscover.json"
| where csUriQuery has "PowerShell" | where csMethod == "POST"
Vì các chiến dịch tấn công ProxyLogon trước đây thường kết hợp để phát tán ransomware, phần mềm độc hại và đánh cắp dữ liệu trên các máy chủ bị nhiễm, nhiều khả năng chúng ta có thể sẽ thấy các cuộc tấn công tương tự bằng cách sử dụng ProxyShell.
Nguồn: Bleeping Computer