Nelle ultime settimane sono state identificate nuove vulnerabilità dei server Microsoft Exchange il cui utilizzo concatenato di tre diverse vulnerabilità permette ad un attaccante di bypassare il meccanismo di autenticazione ed eseguire codice arbitrario (Remote Code Execution) sul sistema target con privilegi amministrativi.
Vulnerabilità coinvolte
La concatenazione di tre diverse vulnerabilità hanno permesso di formulare un attacco chiamato ProxyLogon :
- CVE-2021-34473 – Pre-auth Path Confusion per il Bypass delle ACL
- CVE-2021-34523 – Privilege Escalation sul Backend dei Server
- CVE-2021-31207 – Scrittura di file arbitraria che porta all’esecuzione di codice (RCE)
Sfruttando le vulnerabilità elencate è possibile caricare nei server Microsoft Exchange una qualsiasi webshell, attraverso la quale eseguire comandi con privilegi amministrativi.
Sono già stati individuati attacchi informatici che sfruttano tale vulnerabilità.
L’attacco è reso possibile dal fatto che i componenti del server Exchange che processano le richieste HTTP non effettuano alcuni controlli sugli header. In particolare, è possible ottenere l’accesso al server del backend fornendo un indirizzo email qualunque e successivamente bypassando le procedure di autenticazione. Infine, una volta ottenuto l’accesso al server, abusando del comando PowerShell New-MailboxExportRequest è possibile scrivere un qualsiasi file nella cartella c:\inetpub\wwwroot\aspnet_client\. Caricando una webshell è quindi possibile eseguire codice da remoto con privilegi elevati.
Indicatori di Compromissione
Gli attacchi osservati dai vari gruppi di ricerca hanno evidenziato l’utilizzo dell’URL iniziale https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com. Una volta caricata la webshell, è stato osservato il caricamento di due eseguibili:
- C:\Windows\System32\createhidetask.exe
- C:\Windows\System32\ApplicationUpdate.exe
Nei casi in cui gli eseguibili non sono stati caricati, è stato trovato un file con nome casuale ed estensione .aspx nella cartella C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\
URL
- https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com
File
- C:\Windows\System32\createhidetask.exe
- C:\Windows\System32\ApplicationUpdate.exe
- File dal nome casuale con estensione ASPX nella cartella C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\
Indirizzi IP
- 3.15.221.32
- 194.147.142.0/24