Problema
- Explorações de ProxyLogon e ProxyShell
- Essa ameaça afeta usuários do Microsoft Exchange Server versões 2010, 2013, 2016 e 2019
- Hafnium
- Seu produto de segurança ESET detecta a seguinte ameaça
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
- Instalar o patch de segurança da Microsoft
- Mantenha o ESET LiveGrid ativado
- Minimizar o risco de ataque de malware
- Postagem no blog do WeLiveSecurity
Solução
Explorações do ProxyLogon e do ProxyShell
Tanto o ProxyLogon quanto o ProxyShell foram vistos e utilizados por diferentes grupos criminosos, como o Hanium ou o BlackByte ransomware. Ambos também foram usados para realizar Business Email Compromises (BEC) para enviar e-mails maliciosos a partir de servidores Exchange comprometidos.
Embora o software da ESET possa detectar esse ataque, os patches para o ProxyLogon e o ProxyShell devem ser aplicados a todos os servidores Exchange para evitar o risco de exploração.
Exploração do ProxyLogon:
Exploração do ProxyShell:
Patch de segurança da Microsoft
Depois de explorar as vulnerabilidades para obter acesso inicial, os operadores (por exemplo, HAFNIUM) implantam shells da Web no servidor comprometido. Os shells da Web permitem que os invasores roubem dados e executem ações maliciosas adicionais que levam a um comprometimento ainda maior. Veja mais informações técnicas e detalhes do ataque ao HAFNIUM.
A detecção dos web shells e backdoors usados nessa cadeia de ataque aparece como:
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
As vulnerabilidades de execução remota de código do servidor Microsoft Exchange são:
- CVE-2021-26855 (a mais comum)
- CVE-2021-26857
- CVE-2021-26858
- CVE-2021-27065
Leia mais sobre Vulnerabilidades do Microsoft Exchange descobertas e exploradas in-the-wild. A ESET recomenda fortemente a instalação imediata da atualização de segurança da Microsoft.
Para garantir o mais alto nível de segurança, recomendamos que você esteja sempre com a versão mais recente de seu produto ESET: Verifique a versão mais recente de seus produtos ESET para empresas
Mantenha o ESET LiveGrid ativado
Em alguns casos, seu produto ESET com o ESET LiveGrid ativado pode responder mais rápido às novas ameaças que as atualizações dos módulos.
Saiba mais sobre o ESET LiveGrid e certifique-se de que ele esteja ativado em seu produto ESET.
Minimize o risco de ataques de malware
O que posso fazer para minimizar o risco de um ataque de malware?
- Faça backup de seus dados importantes
- Não altere as configurações padrão
- Faça download de patches de segurança
Postagem no blog do WeLiveSecurity
Para saber mais sobre como proteger seu sistema contra esse exploit, recomendamos que você leia o seguinte post do blog da ESET:
- Microsoft lança correções para quatro falhas de dia zero no Exchange Server
- Servidores Exchange sob o cerco de pelo menos 10 grupos APT
Para ver uma lista de todos os artigos de segurança da ESET relacionados a ataques de dia zero, consulte ataques de dia zero.
