Más datos sobre Zero Day en Microsoft Exchange, detección y mitigaciones #ProxyShell #Proxylogon #Hafnium

Esta publicación de BlueTeamBlog tiene como objetivo explicar qué son los nuevos Zero Day de Microsoft Exchange y luego proporcionar consejos de mitigación y detección publicados hasta ahora (7 de marzo de 2021).

¿Por qué debo preocuparme?

Porque, en los últimos días, al menos 30.000 organizaciones (solo en Estados Unidos), incluida una cantidad significativa de pequeñas empresas, pueblos, ciudades y gobiernos locales, han sido hackeadoss por una unidad de ciberespionaje china inusualmente agresiva que se enfoca en robar correos electrónicos de organizaciones víctimas. El grupo de espionaje está explotando cuatro fallas recientemente descubiertas en Microsoft Exchange Server y ha tomado el control remoto total sobre los sistemas afectados.

Este video muestra todo lo que se puede hacer encadenando las vulnerabilidades y exploits existentes:

¿Qué son estos Zero Days de Microsoft Exchange?

• Originalmente, ProxyLogon o ProxyShell fue descubierto por Orange Tsai del equipo de DEVCORE Research Team.
• Microsoft lo denomina HAFNIUM porque es el nombre del grupo original que lo explotó
• Volexity, quien detectó el Zero-Day por primera vez, lo denominada Operation Exchange Marauder

Recomiendo leer este artículo completo de la publicación original de Microsoft, en donde se brindan detalles de la operación y de las cuatro vulnerabilidades y exploits existentes:

• CVE-2021-26855 es una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Exchange que permite al atacante enviar solicitudes HTTP arbitrarias y autenticarse como el servidor de Exchange.
• CVE-2021-26857 es una vulnerabilidad de deserialización insegura en el servicio de mensajería unificada. La deserialización insegura es cuando un programa deserializa datos no confiables y controlables por el usuario. Aprovechar esta vulnerabilidad le dio a HAFNIUM la capacidad de ejecutar código como SYSTEM en el servidor Exchange. Esto requiere permiso de administrador u otra vulnerabilidad para explotar anteriormente.
• CVE-2021-26858 es una vulnerabilidad de escritura de archivo arbitrario posterior a la autenticación en Exchange. Si HAFNIUM pudiera autenticarse con el servidor de Exchange, entonces podrían usar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. Podrían autenticarse explotando la vulnerabilidad SSRF CVE-2021-26855 o comprometiendo las credenciales de un administrador legítimo.
• CVE-2021-27065 es una vulnerabilidad de escritura de archivo arbitrario posterior a la autenticación en Exchange. Si HAFNIUM pudiera autenticarse con el servidor de Exchange, entonces podrían usar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. Podrían autenticarse explotando la vulnerabilidad SSRF CVE-2021-26855 o comprometiendo las credenciales de un administrador legítimo.

Es importante tener en cuenta que estas vulnerabilidades existen en Microsoft Exchange Server y no afectan a los usuarios de Microsoft Exchange Online.

Hay más información sobre estos Zero-Days en la publicación original de Volexity y también en la publicación de FireEye Managed Defense.

También se ha creado un sitio llamado proxylogon.com. Esto es para CVE-2021-26855, que luego se encadena con CVE-2021-27065, y permite a los atacantes no autenticados ejecutar código en sistemas remotos. El sitio muestra un ejemplo del exploit en acción.

Post-Explotación

Según la publicación de Microsoft, se están realizando las siguientes actividades posteriores a la explotación y del uso de una webshell utilizando las vulnerabilidades anteriores.

• Agregar y usar complementos de Exchange PowerShell para exportar datos del buzón;
• Uso la shell inverso Nishang Invoke-PowerShellTcpOneLine;
• Descargar PowerCat de GitHub y luego usarlo para abrir una conexión a un servidor remoto;
• Descargar la libreta de direcciones de Exchange sin conexión de sistemas comprometidos.

Según la publicación de Volexity, se han visto las siguientes actividades posteriores a la explotación.

• rundll32 C:\windows\system32\comsvcs.dll / MiniDump lsass.dmp - Vuelca la memoria del proceso de lsass.exe para obtener las credenciales;
• PsExec: herramienta de Windows SysInternals utilizada para ejecutar comandos en sistemas remotos;
• ProcDump: herramienta de Windows SysInternals para volcar la memoria del proceso;
• WinRar: utilidad de línea de comandos para la exfiltración de datos de archivo usados;
• Webshells (ASPX y PHP): se utilizan para permitir la ejecución de comandos o el proxy de red a través de sitios web externos;
• Adición de usuarios de cuentas de dominio: aprovechado por los atacantes para agregar su propia cuenta de usuario y otorgarle privilegios para proporcionar acceso en el futuro

Según la publicación de FireEye, se observó la siguiente actividad adicional.

• net group “Exchange Organization administrators” administrator /del /domain. Este comando intenta eliminar al usuario administrador del grupo de administradores de organizaciones de Exchange, comenzando con el controlador de dominio en el dominio actual. Si el sistema está en un dominio de un solo sistema, se ejecutará en la computadora local.

El análisis en este informe de Huntress Labs detalla cómo se origina el ataque, a partir de la ejecución de un comando que fue detectado y detenido por Windows Defender. El hilo continúa hasta que el atacante ejecuta Mimikatz.

Herramientas

Microsoft provee las siguientes herramientas:

• Script de Nmap para identificar si los sistemas son vulnerables a los Zero-Days de Exchange. Hrbrmstr aclara que se debe volver a escanear cualquier sistema de Exchange que haya escaneado anteriormente con el script nmap NSE de Microsoft (http-vuln-cve2021-26855.nse)
• Otro script de Nmap, desarrollado por Kevin Beaumont
• Script de Powershell para verificar los registros de eventos de Windows y los registros de Exchange en busca de IoCs.

Además, publicó un buen número de Hunting Queries:

• Reverse shell loaded using Nishang Invoke-PowerShellTcpOneLine technique
• Exchange Server IIS dropping web shells
• Procdump dumping LSASS credentials
• 7-ZIP used by attackers to prepare data for exfiltration
• Exchange PowerShell snap-in being loaded
• Powercat exploitation tool downloaded
• Exchange vulnerability creating web shells via UMWorkerProcess
• Exchange vulnerability launching subprocesses through UMWorkerProcess
• Base64-encoded Nishang commands for loading reverse shell

Más Información

• Microsoft post
• Microsoft Vulnerability Mitigation’s
• BlueTeamBlog post
• How to install the security update
• Volexity post
• Domaintools post
• Mandiant Advisory
• Cisco Talos Advisory
• CISA Advisory
• FireEye post
• YARA rule escrita por Joe Hannon de Microsoft.
• Nextron post
• THN
• Repo HAFNIUM-Microsoft-Exchange-0day

Info de CERTs

• CISA Advisory
• GER: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/210305_Exchange-Schwachstelle.html
• NED: https://ncsc.nl/actueel/nieuws/2021/maart/5/update-microsoft-exchange-server
• CZE: https://nukib.cz/cs/infoservis/hrozby/1692-vyjadreni-k-aktualni-situaci/
• NOR: https://nsm.no/aktuelt/oppdater-microsoft-exchange-snarest
• ROM: https://cert.ro/citeste/alerta
• NZ: https://cert.govt.nz/it-specialists/advisories/urgent-microsoft-exchange-security-update/
• FRA: https://cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-004/
• SIN: https://csa.gov.sg/singcert/alerts/al-2021-013
• HUN: https://nki.gov.hu/it-biztonsag/hirek/exchange-adminok-figyelem-nulladik-napi-hibakat-javitott-a-microsoft/
• AUT: https://cert.at/de/warnungen/2 021/3/kritische-sicherheitslucken-in-microsoft-exchange-server-patches-verfugbar
• SWE: https://cert.se/2021/03/bm21-001-aktiva-skanningar-efter-sarbara-microsoft-exchange-servrar
• FIN: https://kyberturvallisuuskeskus.fi/fi/varoitus-ex changen-hyvaksikaytetty-haavoittuvuus AUS: https://cyber.gov.au/acsc/view-all- content/alerts/exchange-server-critical-vulnerabilities ESP: https://www.ccn-cert.cni.es/seguridad-al-dia/alertas-ccn-cert/10886-ccn-cert-al-02-21-vulnerabilidades-zero-day-en-microsoft-exchange.html
• CA https://cyber.gc.ca/en/alerts/active-exploitation-microsoft-exchange-vulnerabilities

Actualización 11/03: Un investigador vietnamita ha publicado una PoC funcional de ProxyLogon (confirmado) en Github y la empresa Praetorian ha publicado un write-up detallado de la explotación. La PoC encadena las vulnerabilidades CVE-2021-26855 y CVE-2021-27065 con éxito para lograr un RCE completo.

Suscríbete a nuestro Boletín