Берегите свои почты
В Microsoft Exchange активно экслуатируется набор уязвимостей, получивших название ProxyShell: хакеры постоянно ищут новых жертв. Жертвы находятся среди локальных установок Exchange, которые давно не обновляли.
ProxyShell включает три уязвимости. Одна позволяет обходить ACL, вторая — повышать привилегии в Exchange PowerShell Backend, а третья — записывать произвольные файлы и разворачивать RCE-атаки. В апреле исследователи из Devcore показали все эти уязвимости на конференции Pwn2Own, и Microsoft их оперативно пропатчила. Конечно, хакеры не менее оперативно начали искать уязвимые системы.
Исследователи из NCC Group развернули специальный сервер-приманку, до которого хакеры добрались, наглядно продемонстрировав, что и как они делают. Говорится о волне атак, в которой пострадало как минимум 30 тысяч машин.
Выглядит всё это дело так. Сначала хакеры кладут в папку /aspnet_client/ веб-шелл на С#, позволяющий грузить на сервер любые файлы. Через него уже загружают второй шелл и кладут два файла в C:WindowsSystem32 — createhidetask.exe и ApplicationUpdate.exe. Второй шелл запускает createhidetask.exe, который создаёт задачу: каждую ночь запускать ApplicationUpdate.exe. Изначально эта программа просто тянула с удалённого сервера, принадлежащего хакерам, обновление .NET. Когда количество жертв показалось хакерам достаточным, на многих заражённых машинах начали подтягиваться вирусы.
Замечены, например, хакеры, которые комбинируют уязвимости ProxyShell с PetitPotam и заражают взломанные машины рансомварью LockFile.
Начало печальное: на хакерском форуме услужливо опубликовали в открытом виде список из как минимум 100 тысяч серверов, уязвимых к ProxyShell и ProxyLogon. Microsoft пока молчит, а NSA напомнило в Твиттере про своё руководство по выявлению вебшеллов, которое публиковалось ещё в марте. Тогда прокатилась схожая волна атак ProxyLogon, затронувшая порядка 250 тысяч машин.
Про LockFile и масштабы атаки известно пока не очень много. Проанализировавшие его исследователи разве что замечают, что вирус крайне прожорлив до ресурсов, и от него периодически подвисает система. А ещё вот здесь можно посмотреть собранные индикаторы компрометации и подробнее прочитать про загружаемые на взломанные сервера вебшеллы.