Los ataques contra servidores de Microsoft Exchange potencialmente vulnerables continúan y se volvieron mucho más fáciles de realizar después de que se publicó en línea el código de explotación CVE-2021-26855 ProxyLogon Exploit, trasladando los incidentes de APT a las principales actividades de ciberdelincuencia. Puede leer más sobre los antecedentes de HAFNIUM y los informes especiales anteriores sobre servidores de Microsoft Exchange potencialmente vulnerables en las publicaciones de blog recientes:
- HAFNIUM atribuyó víctimas de Exchange (2021-02-26 a 2021-03-03, lanzamiento previo al parche)
- Exchange Scanning #1: explotación masiva (2021-03-09, lanzamiento posterior al parche)
- Exchange Scanning #2: shells web confirmados (2021-03-12, lanzamiento posterior al parche)
Este informe especial identifica servidores de Microsoft Exchange potencialmente vulnerables adicionales durante el período 2021-03-13 a 2021-03-14, y se comparte fuera del proceso normal de informes de red diarios gratuitos.
Los informes especiales de Shadowserver son diferentes a todos nuestros otros informes de red diarios gratuitos estándar . No cubren un período de tiempo específico.
En cambio, se envían informes especiales en situaciones en las que se pueden compartir conjuntos de datos únicos y de alto valor que se creen que deben informarse de manera responsable para obtener el máximo beneficio público. A veces, hay incidentes en los que sería útil poder notificar a las posibles víctimas sobre eventos o infracciones que pueden haberlas afectado fuera del período anterior de 24 horas, por ejemplo, durante eventos de alto perfil como la cadena de suministro de Solarwinds Orion/SUNBURST o HAFNIUM. /Infracciones masivas de Microsoft Exchange Server, en las que los respondedores de incidentes pueden tardar varios días en realizar investigaciones forenses y los datos analizados están disponibles para compartirlos con posibles víctimas. Aunque los eventos incluidos en estos Informes Especiales estarán fuera de la ventana habitual de informes diarios de 24 horas.
Tenga en cuenta que dado que los datos que se pueden compartir durante eventos de informes únicos a veces son diferentes de los conjuntos de datos compartidos de forma estándar, este formato de informe está sujeto a cambios, principalmente mediante la adición de nuevos campos para describir mejor un conjunto de datos en particular.
CAMPOS
timestamp | Marca de tiempo cuando se vio la IP en UTC+0 |
ip | IP del dispositivo afectado |
asn | A partir del dispositivo afectado |
region | Región del dispositivo afectado |
city | Ciudad del dispositivo afectado |
hostname | Nombre de host del dispositivo afectado (puede ser de revDNS) |
naics | Código del sistema de clasificación de la industria de América del Norte |
sector | Sector de la PI en cuestión |
tag | Etiquetas adicionales para obtener más información |
public_source | Fuente de los datos |
status | Estado de la IP afectada, por ejemplo, vulnerable o probablemente vulnerable |
detail | Detalles adicionales sobre el evento |
account | Cuenta afectada, si la hay |
EJEMPLO
"timestamp","ip","asn","geo","region","city","hostname","naics","sector","tag","public_source","status","detail","account"
"2021-03-13 00:00:00","46.165.xxx.xxx",42652,"DE","RHEINLAND-PFALZ","KATZWEILER","012-132-165-046.ip-addr.inexio.net",,,"exchange",,"potentially vulnerable",,
"2021-03-13 00:00:00","23.84.xxx.xxx,20115,"US","MISSOURI","ST LOUIS","xxx.xxx.spectrum.com",517311,"Communications, Service Provider, and Hosting Service","exchange",,"potentially vulnerable",,
"2021-03-13 00:00:00","24.107.xxx.xxx",20115,"US","MISSOURI","FENTON","xxx.xxx.spectrum.com",517311,"Communications, Service Provider, and Hosting Service","exchange",,"potentially vulnerable",,
"2021-03-13 00:00:00","24.107.xxx.xxx",20115,"US","MISSOURI","ST LOUIS","xxx.xxx.spectrum.com",517311,"Communications, Service Provider, and Hosting Service","exchange",,"potentially vulnerable",,
"2021-03-13 00:00:00","24.158.xxx.xxx",20115,"US","MINNESOTA","DULUTH","xxx.xxx.spectrum.com",517311,"Communications, Service Provider, and Hosting Service","exchange",,"potentially vulnerable",,