{"id":3072,"date":"2021-08-18T12:16:01","date_gmt":"2021-08-18T10:16:01","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=3072"},"modified":"2023-09-16T11:05:54","modified_gmt":"2023-09-16T11:05:54","slug":"nuovo-attacco-ai-server-microsoft-exchange","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/uncategorized-it\/nuovo-attacco-ai-server-microsoft-exchange\/","title":{"rendered":"Nuovo attacco ai server Microsoft Exchange"},"content":{"rendered":"\n<p>Nelle ultime settimane sono state identificate nuove vulnerabilit\u00e0 dei server <strong>Microsoft Exchange<\/strong> il cui utilizzo concatenato di tre diverse vulnerabilit\u00e0 permette ad un attaccante di bypassare il meccanismo di autenticazione ed eseguire codice arbitrario (<strong>Remote Code Execution<\/strong>) sul sistema target con privilegi amministrativi.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Vulnerabilit\u00e0 coinvolte<\/h2>\n\n\n\n<p>La concatenazione di tre diverse vulnerabilit\u00e0 hanno permesso di formulare un attacco chiamato <strong>ProxyLogon<\/strong> :<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><a rel=\"noreferrer noopener\" href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-34473\" target=\"_blank\" class=\"ek-link\">CVE-2021-34473<\/a>  &#8211; Pre-auth Path Confusion per il Bypass delle ACL<\/li><li><a rel=\"noreferrer noopener\" href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-34523\" target=\"_blank\">CVE-2021-34523<\/a>  &#8211; Privilege Escalation sul Backend dei Server<\/li><li><a rel=\"noreferrer noopener\" href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2021-31207\" target=\"_blank\">CVE-2021-31207<\/a>  &#8211; Scrittura di file arbitraria che porta all&#8217;esecuzione di codice (<strong>RCE<\/strong>)<\/li><\/ul>\n\n\n\n<p>Sfruttando le vulnerabilit\u00e0 elencate \u00e8 possibile caricare nei server Microsoft Exchange una qualsiasi <strong>webshell<\/strong>, attraverso la quale eseguire comandi con privilegi amministrativi. <\/p>\n\n\n\n<p>Sono gi\u00e0 stati individuati attacchi informatici che sfruttano tale vulnerabilit\u00e0. <\/p>\n\n\n\n<p>L&#8217;attacco \u00e8 reso possibile dal fatto che i componenti del server Exchange che processano le richieste HTTP non effettuano alcuni controlli sugli header. In particolare, \u00e8 possible ottenere l&#8217;accesso al server del backend fornendo un indirizzo email qualunque e successivamente bypassando le procedure di autenticazione. Infine, una volta ottenuto l&#8217;accesso al server, abusando del comando PowerShell <strong><em>New-MailboxExportRequest<\/em><\/strong> \u00e8 possibile scrivere un qualsiasi file nella cartella <strong><em>c:\\inetpub\\wwwroot\\aspnet_client\\<\/em><\/strong>. Caricando una webshell \u00e8 quindi possibile eseguire codice da remoto con privilegi elevati.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Indicatori di Compromissione<\/h2>\n\n\n\n<p>Gli attacchi osservati dai vari gruppi di ricerca hanno evidenziato l&#8217;utilizzo dell&#8217;URL iniziale <strong><em>https:\/\/Exchange-server\/autodiscover\/autodiscover.json?@foo.com\/mapi\/nspi\/?&amp;Email=autodiscover\/autodiscover.json%3F@foo.com<\/em><\/strong>. Una volta caricata la webshell, \u00e8 stato osservato il caricamento di due eseguibili:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>C:\\Windows\\System32\\createhidetask.exe<\/li><li>C:\\Windows\\System32\\ApplicationUpdate.exe<\/li><\/ul>\n\n\n\n<p>Nei casi in cui gli eseguibili non sono stati caricati, \u00e8 stato trovato un file con nome casuale ed estensione <strong>.aspx<\/strong> nella cartella <strong><em>C:\\Program Files\\Microsoft\\Exchange Server\\V15\\FrontEnd\\HttpProxy\\owa\\auth\\<\/em><\/strong><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">URL<\/h3>\n\n\n\n<ul class=\"wp-block-list\"><li>https:\/\/Exchange-server\/autodiscover\/autodiscover.json?@foo.com\/mapi\/nspi\/?&amp;Email=autodiscover\/autodiscover.json%3F@foo.com<\/li><\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">File<\/h3>\n\n\n\n<ul class=\"wp-block-list\"><li>C:\\Windows\\System32\\createhidetask.exe<\/li><li>C:\\Windows\\System32\\ApplicationUpdate.exe<\/li><li>File dal nome casuale con estensione ASPX nella cartella C:\\Program Files\\Microsoft\\Exchange Server\\V15\\FrontEnd\\HttpProxy\\owa\\auth\\<\/li><\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Indirizzi IP<\/h3>\n\n\n\n<ul class=\"wp-block-list\"><li>3.15.221.32<\/li><li>194.147.142.0\/24<\/li><\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Nelle ultime settimane sono state identificate nuove vulnerabilit\u00e0 dei server Microsoft Exchange il cui utilizzo concatenato di tre diverse vulnerabilit\u00e0 permette ad un attaccante di bypassare il meccanismo di autenticazione ed eseguire codice arbitrario (Remote Code Execution) sul sistema target con privilegi amministrativi. Vulnerabilit\u00e0 coinvolte La concatenazione di tre diverse vulnerabilit\u00e0 hanno permesso di formulare [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1889,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[954],"tags":[1491,1713,1715,1717,1719,1721,1723],"class_list":["post-3072","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized-it","tag-cve-it","tag-exchange-it","tag-exchange-server-it","tag-mail-it","tag-proxylogon-it","tag-proxyshell-it","tag-server-it"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3072","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=3072"}],"version-history":[{"count":1,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3072\/revisions"}],"predecessor-version":[{"id":6946,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3072\/revisions\/6946"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=3072"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=3072"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=3072"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}