Los ataques contra servidores de Microsoft Exchange potencialmente vulnerables que utilizan las vulnerabilidades CVE-2021-26855 , CVE-2021-26857 , CVE-2021-26858 y CVE-2021-27065 continúan, y se han vuelto mucho más fáciles de realizar después de que se publicó el código de explotación «ProxyLogon» en línea, que hizo que los incidentes pasaran de ser solo APT a convertirse en actividades principales de ciberdelincuencia. Puede leer más sobre los antecedentes de los compromisos originales de HAFNIUM Microsoft Exchange Server y los informes especiales posteriores sobre servidores de Microsoft Exchange potencialmente vulnerables en la publicaciones de blog recientes:
- HAFNIUM atribuyó víctimas de Exchange (2021-02-26 a 2021-03-03, lanzamiento previo al parche)
- Exchange Scanning #1: explotación masiva (2021-03-09, lanzamiento posterior al parche)
- Exchange Scanning #2: shells web confirmados (2021-03-12, lanzamiento posterior al parche)
- Exchange Scanning #3: servidores potencialmente vulnerables (2021-03-13 a 2021-03-14, publicación posterior al parche)
- Exchange Scanning #4: servidores potencialmente vulnerables (2021-03-14, publicación posterior al parche)
Gran parte de la detección de servidores de Microsoft Exchange potencialmente vulnerables realizada hasta la fecha se ha basado en el análisis de IPv4/0 en Internet, que es efectivo para identificar entornos de Exchange/OWA que están configurados para usar la dirección IP predeterminada. Sin embargo, este tipo de análisis masivo no siempre identifica los servidores de Microsoft Exchange potencialmente vulnerables, ya que también se pueden configurar para utilizar el alojamiento virtual del servidor web para los nombres de dominio completos (FQDN), en lugar de vincularlos simplemente a la instancia del sitio web predeterminado o a un dirección IP principal del servidor. En tales casos, es posible que las instancias de Microsoft Exchange Server basadas en host virtual se pasen por alto durante las exploraciones de IPv4/0.
Este informe especial compromete un conjunto de datos híbridos generados tanto por escaneo como por pruebas basadas en el nombre de host FQDN (usando datos como los obtenidos a través del análisis de registros MX, DNS inverso, DNS pasivo, emisor de certificado SSL/nombres comunes del sujeto, etc.) para identificar servidores de Microsoft Exchange vulnerables adicionales.
- Se observó que los dispositivos con un estado de «vulnerable-en-el-tiempo-de-escaneo» se comportaron como vulnerables a la prueba ProxyLogon CVE-2021-26855 Exchange SSRF a través de X-AnonResource-Backend y X-BEResource cookies, según lo publicado por Microsoft Guión Nmap NSE
- Se observó que los dispositivos con un estado de «comprometido» devolvían una respuesta de un shell web en una ruta de URI fácil de adivinar que se sabe que se coloca en servidores de Microsoft Exchange comprometidos con éxito. Siempre que sea posible, se incluye la información de la versión de Exchange y el nombre de host del servidor interno para ayudar a identificar y reparar a la víctima.
Algunos de los sistemas potencialmente vulnerables o comprometidos se ejecutarán como un host virtual en una dirección IP que también está configurada para responder como el sitio predeterminado para esa dirección IP, independientemente del alojamiento virtual del servidor web, por lo que es probable que haya cierta duplicación entre usuarios únicos. rutas URL de Microsoft Exchange Server potencialmente vulnerables y comprometidas. Dado que el conjunto de datos cubre el período 2021-03-16 a 2021-03-23 , es posible que algunas instancias expuestas ya hayan sido parcheadas y los web shells eliminados.
Este informe especial se comparte fuera del proceso normal de informes de red diarios y gratuitos.
Los informes especiales de Shadowserver son diferentes a todos los otros informes de red diarios gratuitos estándar. No cubren un período de tiempo específico.
En cambio, se envían informes especiales en situaciones en las que se pueden compartir conjuntos de datos únicos y de alto valor que se creen que deben informarse de manera responsable para obtener el máximo beneficio público. A veces, hay incidentes en los que sería útil poder notificar a las posibles víctimas sobre eventos o infracciones que pueden haberlas afectado fuera del período anterior de 24 horas, por ejemplo, durante eventos de alto perfil como la cadena de suministro de Solarwinds Orion/SUNBURST o HAFNIUM. /Infracciones masivas de Microsoft Exchange Server, en las que los respondedores de incidentes pueden tardar varios días en realizar investigaciones forenses y los datos analizados están disponibles para compartirlos con posibles víctimas. Aunque los eventos incluidos en estos Informes Especiales estarán fuera de la ventana habitual de informes diarios de 24 horas.
Tenga en cuenta que dado que los datos que se pueden compartir durante eventos de informes únicos a veces son diferentes de los conjuntos de datos compartidos de forma estándar, este formato de informe está sujeto a cambios, principalmente mediante la adición de nuevos campos para describir mejor un conjunto de datos en particular.
CAMPOS
| timestamp | Marca de tiempo cuando se vio la IP en UTC+0 |
| ip | IP del dispositivo afectado |
| asn | A partir del dispositivo afectado |
| geo | País del dispositivo afectado |
| region | Región del dispositivo afectado |
| city | Ciudad del dispositivo afectado |
| hostname | Nombre de host del dispositivo afectado (puede ser de DNS inverso) |
| naics | Código del sistema de clasificación de la industria de América del Norte |
| sector | Sector de la PI en cuestión |
| tag | Etiquetas adicionales para obtener más información |
| public_source | Fuente de los datos |
| status | Estado de la IP afectada, por ejemplo, «vulnerable en el momento de la exploración» o «comprometida» (con un webshell presente en una ruta común) |
| detail | Detalles adicionales sobre el evento |
| account | Nombre de la cuenta de administrador de Microsoft Exchange |
| exchange_version | Versión de Microsoft Exchange informada por shell web detectado a través del campo «AdminDisplayVersion». |
| server_version | Versión de Microsoft Exchange informada por shell web detectado a través del campo «ExchangeVersion». |
EJEMPLO
"timestamp","ip","asn","geo","region","city","hostname","naics","sector","tag","public_source","status","detail","account","exchange_version","server_version"
"2021-03-16 12:41:08","24.197.xxx.xxx",20115,"US","WISCONSIN","ONALASKA","xxx.xxx.xxx.com",517311,"Communications, Service Provider, and Hosting Service","exchange;CVE-2021-26855","Shadowserver","vulnerable-at-time-of-scan","https://xxx.xxx.spectrum.com",,
"2021-03-17 15:18:17","194.244.xxx.xxx",16391,"US","NORTH CAROLINA","RALEIGH","xxx.xxx.org",,,"exchange;CVE-2021-26855","Shadowserver","vulnerable-at-time-of-scan","https://xxx.xxx.org",,,
"2021-03-17 15:35:27","97.102.xxx.xxx",33363,"US","FLORIDA","PALM BAY","xxx.xxx.xxx.com",517311,"Communications, Service Provider, and Hosting Service","exchange;webshell","Shadowserver","compromised","https://xxx.xxx.xxx.com/owa/auth/OutlookDA.aspx",,,
"2021-03-17 15:36:01","100.19.xxx.xxx",701,"US","PENNSYLVANIA","AMBLER","xxx.xxx.xxx.verizon.net",517312,"Communications, Service Provider, and Hosting Service","exchange;webshell","Shadowserver","compromised","https://100.19.xxx.xxx/owa/auth/OutlookDA.aspx",,,
"2021-03-17 15:36:02","100.8.xxx.xxx",701,"US","NEW JERSEY","ROSELLE PARK","mail.xxx.com",517312,"Communications, Service Provider, and Hosting Service","exchange;webshell","Shadowserver","compromised","https://100.8.xxx.xxx/owa/auth/OutlookDA.aspx",,,
"2021-03-17 15:36:03","102.130.xxx.xxx",37302,"ZA","KWAZULU-NATAL","SHEFFIELD BEACH","mail.xxx.edu.za",,,"exchange;webshell","Shadowserver","compromised","https://102.130.xxx.xxx/owa/auth/OutlookDA.aspx",,,
"2021-03-23 17:00:37","103.118.xxx.xxx",58868,"AU","QUEENSLAND","BRISBANE",,,"Communications, Service Provider, and Hosting Service","exchange;webshell","Shadowserver","compromised","http://103.118.xxx.xxx/aspnet_client/0QWYSEXe.aspx",,"Version 15.0 (Build 995.29)","0.10 (14.0.100.0)"
"2021-03-23 17:00:37","1.214.xxx.xxx",3786,"KR","GYEONGGI-DO","DEOKGYE-DONG","mail.xxxxxxx.kr",517311,,"exchange;webshell","Shadowserver","compromised","http://1.214.xxx.xxx/owa/auth/redirsuiteserverproxy.aspx",,"Version 15.0 (Build 1395.4)","0.10 (14.0.100.0)"