Open Relay

Дополню кейс. Рекомендую прочитать.
habr.com

Расследование: как мы обнаружили новые следы группировки ChamelGang и помогли авиапромышленной компании пресечь ее атаку

Если помните, недавно мы рассказывали о том, как специалисты нашего экспертного центра безопасности ( PT Expert Security Center , PT ESC) обнаружили новую, ранее неизвестную APT-группировку ,...
habr.com habr.com
CVEDescriptionAffected Versions
CVE-2021-34473Pre-auth Path Confusion leads to ACL Bypass· Microsoft Exchange Server 2013

· Microsoft Exchange Server 2016
· Microsoft Exchange Server 2019
CVE-2021-34523Elevation of Privilege on Exchange PowerShell Backend· Microsoft Exchange Server 2013

· Microsoft Exchange Server 2016
· Microsoft Exchange Server 2019
CVE-2021-31207Post-auth Arbitrary-File-Write leads to RCE· Microsoft Exchange Server 2013

· Microsoft Exchange Server 2016
· Microsoft Exchange Server 2019
 
Поищите на почтаре подозрительные файлы
C:\Windows\System32\createhidetask.exe
C:\Windows\System32\ApplicationUpdate.exe

Еще в каталоге может быть файлик напоминающий хэш - тоже признак взлома
C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\


Изученные на данный момент скрипты злоумышленников могут быть использованы для подгрузки файлов на скомпрометированные серверы Exchange. Уоррен также отметил, что через установленный вебшелл может загружаться ещё один вебшелл и два исполняемых файла (C:Windows\System32\createhidetask.exe и C:\Windows\System32\ApplicationUpdate.exe). Второй вебшелл используется для запуска файла createhidetask.exe, который создаёт запланированную задачу под названием PowerManager. Та ежедневно в час ночи запускает ApplicationUpdate.exe - загрузчик .NET, который используется как бэкдор и загружает ещё один двоичный файл .NET с удалённого сервера. Этот файл поначалу вполне безвреден, но в любой момент может быть подменён чем-то вредоносным, указывает Уоррен. Если по какой-то причине вышеуказанные исполняемые файлы не находятся, создаётся ещё один вебшелл - ASPX-файл со случайным названием. Он размещается в папке C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\

www.ptsecurity.com

Мастера маскировки: новая группировка ChamelGang и ее арсенал

Мастера маскировки: новая группировка ChamelGang и ее арсенал
www.ptsecurity.com www.ptsecurity.com
 
Последнее редактирование модератором:
  • Like
Реакции: UEF
Если Exchange16 cu22 то поставьте KB5008631

Всего за два дня через ProxyShell было взломано 2 тыс. установок Microsoft Exchange

Несмотря на наличие исправлений для описанных выше уязвимостей, системные администраторы не спешат их устанавливать.
www.securitylab.ru www.securitylab.ru

CVE-2021-34473 : Microsoft Exchange Server Remote Code Execution Vulnerability This CVE ID is unique from CVE-2021-31196, CVE-2021-31206.

CVE-2021-34473 : Microsoft Exchange Server Remote Code Execution Vulnerability This CVE ID is unique from CVE-2021-31196, CVE-2021-31206.
www.cvedetails.com
 
Последнее редактирование модератором:
Для ответа нужно войти/зарегистрироваться
Назад
Верх