• Trang Chủ
  • Tin An Ninh Mạng
  • Tin Tức
    • Apple
      • iPhone
      • iPad
      • MacOS
    • Android
    • Cloud
    • Microsoft
      • Windows 11
    • OpenSource
  • Tài Nguyên
    • Chia Sẻ Tài khoản
    • Chia Sẻ Game Mobile hay
    • Pentesting Tools
  • How To
    • Thủ Thuật Python
    • pfSense Toàn Tập
    • Thủ Thuật Bảo Mật
    • Thủ Thuật Hay
  • Cảnh Báo Bảo Mật
  • Ứng Cứu Sự Cố 24/7
Sunday, July 3, 2022
  • Login
  • Register
Cyber Security 365
28 °c
Ho Chi Minh City
29 ° Mon
29 ° Tue
29 ° Wed
28 ° Thu
  • Trang Chủ
  • Tin An Ninh Mạng
  • Tin Tức
    • Apple
      • iPhone
      • iPad
      • MacOS
    • Android
    • Cloud
    • Microsoft
      • Windows 11
    • OpenSource
  • Tài Nguyên
    • Chia Sẻ Tài khoản
    • Chia Sẻ Game Mobile hay
    • Pentesting Tools
  • How To
    • Thủ Thuật Python
    • pfSense Toàn Tập
    • Thủ Thuật Bảo Mật
    • Thủ Thuật Hay
  • Cảnh Báo Bảo Mật
  • Ứng Cứu Sự Cố 24/7
No Result
View All Result
  • Trang Chủ
  • Tin An Ninh Mạng
  • Tin Tức
    • Apple
      • iPhone
      • iPad
      • MacOS
    • Android
    • Cloud
    • Microsoft
      • Windows 11
    • OpenSource
  • Tài Nguyên
    • Chia Sẻ Tài khoản
    • Chia Sẻ Game Mobile hay
    • Pentesting Tools
  • How To
    • Thủ Thuật Python
    • pfSense Toàn Tập
    • Thủ Thuật Bảo Mật
    • Thủ Thuật Hay
  • Cảnh Báo Bảo Mật
  • Ứng Cứu Sự Cố 24/7
No Result
View All Result
Cyber Security 365
No Result
View All Result
Home Tin An Ninh Mạng

Máy chủ Microsoft Exchange đang bị tấn công thông qua khai thác ProxyShell

Dennis@ by [email protected]
13/08/2021
Reading Time: 7 mins read
0
Máy chủ Microsoft Exchange đang bị tấn công thông qua khai thác ProxyShell

Máy chủ Microsoft Exchange đang bị tấn công thông qua khai thác ProxyShell

Share on FacebookShare on TwitterShare on LinkedinShare on PinterestShare on T

Các tin tặc đang tích cực tận dụng lỗ hổng bảo mật ProxyShell trên các máy chủ Microsoft Exchange để cài đặt các cửa hậu (backdoor).

Mục Lục

  • 1 Các tin tặc đang tích cực tận dụng lỗ hổng bảo mật ProxyShell trên các máy chủ Microsoft Exchange để cài đặt các cửa hậu (backdoor).
    • 1.1 ProxyShell được tích cực khai thác để phảt tán các WebShell
Máy chủ Microsoft Exchange đang bị tấn công thông qua khai thác ProxyShell
Máy chủ Microsoft Exchange đang bị tấn công thông qua khai thác ProxyShell

ProxyShell là tên của một cuộc tấn công tận dụng ba lỗ hổng bảo mật trên Microsoft Exchange Server nhằm thực thi mã lệnh tuỳ ý từ xa, mà không cần xác thực.

Ba lỗ hổng, được liệt kê dưới đây, được phát hiện bởi Orange Tsai – Nhà nghiên cứu bảo mật chính của Devcore, người đã liên kết chúng lại với nhau để chiếm quyền một máy chủ Microsoft Exchange trong cuộc thi hack Pwn2Own 2021 vào tháng Tư.

  • CVE-2021-34473 – lỗ hổng cho phép Pybass ACL (Được vá vào tháng 4 qua bản vá có mã hiệu KB5001779)
  • CVE-2021-34523 – Lỗ hổng leo thang đặc quyền trên Exchange PowerShell Backend (Được vá vào tháng 4 qua bản vá có mã hiệu KB5001779)
  • CVE-2021-31207 – Post-auth Arbitrary-File-Write leads to RCE (Được vá vào tháng 5 qua bản vá có mã hiệu KB5003435)

Tuần trước, Orange Tsai đã nói chuyện với Black Hat về các lỗ hổng Microsoft Exchange mà anh ấy phát hiện gần đây khi nhắm mục tiêu vào Microsoft Exchange Client Access Service (CAS).

Trong cuộc thảo luận, Tsai tiết lộ rằng việc khai thác ProxyShell sử dụng tính năng AutoDiscover của Microsoft Exchange để thực hiện một cuộc tấn công SSRF.

Sau buổi nói chuyện, các nhà nghiên cứu bảo mật PeterJson và Nguyen Jang đã công bố thông tin kỹ thuật chi tiết hơn về việc thành công khai thác ProxyShell.

Ngay sau đó, nhà nghiên cứu bảo mật Kevin Beaumont bắt đầu thấy các tin tặc tiến hành quét các máy chủ Microsoft Exchange dễ bị tấn công bởi ProxyShell.

ProxyShell được tích cực khai thác để phảt tán các WebShell

Hôm nay Rich Warren, nhà nghiên cứu lỗ hổng bảo mật của Beaumont và NCC Group, đã tiết lộ rằng các tin tặc đã khai thác các honeypots Microsoft Exchange của họ bằng cách sử dụng lỗ hổng ProxyShell.

Started to see in the wild exploit attempts against our honeypot infrastructure for the Exchange ProxyShell vulnerabilities. This one dropped a c# aspx webshell in the /aspnet_client/ directory: pic.twitter.com/XbZfmQQNhY

— Rich Warren (@buffaloverflow) August 12, 2021

Khi khai thác Microsoft Exchange, những kẻ tấn công đang sử dụng URL có dạng:

https://Exchange-server/autodiscover/[email protected]/mapi/nspi/?&Email=autodiscover/autodiscover.json%[email protected]

Lưu ý: Địa chỉ email được liệt kê trong URL không cố định và thay đổi tuỳ theo từng tin tặc.

Chiến dịch khai thác hiện đang phát tán một webshell có kích thước 265KB vào thư mục ‘c:\inetpub\wwwroot\aspnet_client\’

Tuần trước, Jang đã giải thích rằng 265KB là kích thước tệp tối thiểu có thể được tạo bằng cách sử dụng khai thác ProxyShell tận dụng chức năng Mailbox Export của Exchange Powershell để tạo tệp PST.

Warren cho biết các tin tặc sử dụng webshell đầu tiên để tải lên một webshell bổ sung vào một thư mục có thể truy cập từ xa và hai tệp thực thi vào các thư mục C:\Windows\System32, được liệt kê bên dưới:

C:\Windows\System32\createhidetask.exe
C:\Windows\System32\ApplicationUpdate.exe

Nếu không tìm thấy hai tệp thực thi, một webshell khác sẽ được tạo trong thư mục sau dưới dạng tệp ASPX có tên ngẫu nhiên.

C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\

Những kẻ tấn công sử dụng webshell thứ hai để khởi chạy ‘createhidetask.exe’, tạo ra một task có tên ‘PowerManager’, khởi chạy tệp ‘ApplicationUpdate.exe’ lúc 1 giờ sáng hàng ngày.

Warren nói rằng tệp thực thi ApplicationUpdate.exe là một trình tải .NET tùy chỉnh được sử dụng như một cửa hậu: “ApplicationUpdate.exe là trình tải .NET tìm nạp một tệp nhị phân .NET khác từ một máy chủ từ xa (hiện đang cung cấp một tải trọng an toàn).

Mặc dù trọng tải hiện tại là an toàn, nhưng nó dự kiến sẽ được hoán đổi bằng một trọng tải độc hại sau khi các máy chủ bị xâm phạm.

Công ty tình báo an ninh mạng Bad Packets nói rằng họ hiện đang phát hiện các tác nhân đe dọa quét các thiết bị ProxyShell dễ bị tấn công từ các địa chỉ IP ở Mỹ, Iran và Hà Lan.

ADVERTISEMENT

Các địa chỉ IP máy chủ của tin tặc bị phát hiện đến thời điểm hiện tại bao gồm:

  1. 3.15.221.32
  2. 194.147.142.0/24
  3. updating

BadPackets cũng cho biết rằng các địa chỉ email được sử dụng trong quá trình quét là từ @abc.com và @1337.com, như được hiển thị bên dưới.

Máy chủ Microsoft Exchange đang bị tấn công thông qua khai thác ProxyShell
Máy chủ Microsoft Exchange đang bị tấn công thông qua khai thác ProxyShell

Hiện các tin tặc đang tích cực khai thác các máy chủ Microsoft Exchange dễ bị tấn công, Beaumont khuyên quản trị viên nên thực hiện các truy vấn Azure Sentinel để kiểm tra xem thiết bị của họ đã bị quét chưa.

W3CIISLog
| where csUriStem == "/autodiscover/autodiscover.json"
| where csUriQuery has "PowerShell" | where csMethod == "POST"

Vì các chiến dịch tấn công ProxyLogon trước đây thường kết hợp để phát tán ransomware, phần mềm độc hại và đánh cắp dữ liệu trên các máy chủ bị nhiễm, nhiều khả năng chúng ta có thể sẽ thấy các cuộc tấn công tương tự bằng cách sử dụng ProxyShell.

Nguồn: Bleeping Computer

Tags: an ninh mạngbackdoorbảo mật mạnglỗ hổng bảo mậtmicrosoftMicrosoft ExchangeMicrosoft Exchange Servernewsphần mềm độc hạiProxyLogonProxyShellRansomwaretấn công mạngtin an ninh mạngtin tặc
Dennis@

[email protected]

Người chơi hệ cô độc, với một niềm đam mê về lĩnh vực an toàn thông tin nói riêng và Công nghệ thông tin nói chung.  Tôi luôn luôn sẵn sàng hỗ trợ các bạn, hãy để lại tin nhắn cho tôi nhé

RelatedPosts

TikTok sắp biến mất khỏi App Store và CHPlay?
Tin An Ninh Mạng

TikTok sắp biến mất khỏi App Store và CHPlay?

01/07/2022
1.5k
Microsoft sẽ khắc phục sự cố Windows RRAS, VPN cho tất cả người dùng vào tháng 7
Microsoft

Microsoft sẽ khắc phục sự cố Windows RRAS, VPN cho tất cả người dùng vào tháng 7

01/07/2022
1.5k
Tùy chỉnh giao diện Windows 11 thành macOS
Thủ Thuật Hay

Tùy chỉnh giao diện Windows 11 thành macOS

25/04/2022
1.5k
Tin tặc đánh cắp 655K USD sau khi phát hiện “seed” của MetaMask trong bản sao lưu iCloud backup
Cảnh Báo Bảo Mật

Tin tặc đánh cắp 655K USD sau khi phát hiện “seed” của MetaMask trong bản sao lưu iCloud backup

19/04/2022
1.5k
No Result
View All Result

Follow Us On Facebook

cybersec365.org

© 2021 Cyber Security 365 - Digital Transformation & Cloud Security News.

Bài Viết Mới Nhất

TikTok sắp biến mất khỏi App Store và CHPlay?

Microsoft sẽ khắc phục sự cố Windows RRAS, VPN cho tất cả người dùng vào tháng 7

Tùy chỉnh giao diện Windows 11 thành macOS

Tin tặc đánh cắp 655K USD sau khi phát hiện “seed” của MetaMask trong bản sao lưu iCloud backup

[Cảnh báo] Lỗ hổng bảo mật RCE nghiêm trọng trong Plugin Elementor Website Builder trên WordPress

“Trên tay” Windows 11 với menu Setting và File Explorer hoàn toàn mới

No Result
View All Result
  • Trang Chủ
  • Tin An Ninh Mạng
  • Tin Tức
    • Apple
      • iPhone
      • iPad
      • MacOS
    • Android
    • Cloud
    • Microsoft
      • Windows 11
    • OpenSource
  • Tài Nguyên
    • Chia Sẻ Tài khoản
    • Chia Sẻ Game Mobile hay
    • Pentesting Tools
  • How To
    • Thủ Thuật Python
    • pfSense Toàn Tập
    • Thủ Thuật Bảo Mật
    • Thủ Thuật Hay
  • Cảnh Báo Bảo Mật
  • Ứng Cứu Sự Cố 24/7

© 2021 Cyber Security 365 - Digital Transformation & Cloud Security News.

Welcome Back!

Login to your account below

Forgotten Password? Sign Up

Create New Account!

Sign Up with Facebook
OR

Fill the forms below to register

All fields are required. Log In

Retrieve your password

Please enter your username or email address to reset your password.

Log In

Add New Playlist