Além dos problemas com o Power Shell remoto do Exchange Server, a Microsoft já está investigando a possibilidade de existência de outro zero day, afirma o pesquisador alemão Günter Born: segundo ele, provavelmente ele está sendo explorado ativamente para infectar instalações com o ransomware LockBit 3.0. Ele disse em seu blog hoje: “Acabei de me deparar com isso no Twitter, de que há outra nova vulnerabilidade de zero day no Exchange Server. Isso foi descoberto em junho de 2022 pela AhnLab, uma empresa de software sul-coreana e líder de mercado em programas antivírus na Coreia do Sul”.
Veja isso
Power Shell remoto do Exchange deve ser desligado
Hackers anexam aplicativos OAuth no Exchange para espalhar spam
Seus pesquisadores de segurança descrevem a descoberta na postagem de blog (escrito em coreano) intitulado “Da vulnerabilidade do Exchange Server à infecção por ransomware em apenas 7 dias” . Em julho de 2022, um dos clientes da empresa fornecedor foi infectado por ransomware. Os especialistas da AhnLab então inspecionaram dois dos servidores afetados, que estavam executando o Windows Server 2016 Standard, e encontraram o ransomware LockBit 3.0 lá. Günter Born descreveu a progressão do ataque:
- Um WebShell foi instalado nos sistemas infectados que executam o Windows Server 2016 usando uma vulnerabilidade do Exchange Server
- Isso permitiu uma conexão RDP via encapsulamento de SSH
- Em seguida, as informações sobre o AD foram obtidas via BloodHound
- Em seguida, as informações sobre as contas de administrador do AD foram extraídas usando o Mimikatz
O ransomware LockBit 3.0 conseguiu recuperar aproximadamente 1,3 TB de dados dos servidores e, em seguida, criptografou os arquivos nesses sistemas. O blog da AhnLabs informa que o upload do WebShell provavelmente ocorreu por meio de uma vulnerabilidade de zero day. Vários IPs de VPN foram usados para as chamadas do WebShell. Todos os comandos remotos para controlar a infecção do ransomware LockBit3.0 foram executados usando o Wmic.
De acordo com o AhnLabs, levou apenas sete (7) dias desde o momento em que o WebShell foi carregado até o momento em que a conta de administrador do AD foi assumida e infectada com ransomware. De acordo com pesquisadores de segurança, acredita-se que o atacante seja descendente de russos.
Mais alguns detalhes
O cliente afetado executa dois servidores de e-mail para o serviço de e-mail e equilibra a carga das conexões do servidor de e-mail para Mail01 e Mail02 usando a opção L4 no primeiro estágio. Mail01 e Mail02 são servidores Microsoft Exchange, e o servidor IIS também é usado para fornecer o serviço web de correio e acesso móvel.
Em 21 de julho de 2022, os arquivos do WebShell foram (presumivelmente) carregados na pasta OWA no Mail02. Os arquivos WebShell foram posteriormente criptografados para que seu conteúdo não pudesse ser analisado. No log do IIS, um dos dois arquivos WebShell foi identificado como HttpRedirService.aspx (é por isso que os pesquisadores de segurança assumem o uso de um WebShell).
O cliente já havia sido comprometido por vulnerabilidades do Microsoft Exchange Server em dezembro de 2021. Desde então, esse cliente recebeu suporte técnico da Microsoft e aplicou patches de segurança trimestralmente (janeiro, abril, julho). O patch mais recente na época era a atualização KB5014261, lançada em 10 de maio de 2022 e instalada pelo cliente em 9 de julho. A AhnLabs escreve sobre isso:
Analisando o histórico de vulnerabilidades do Microsoft Exchange Server, a vulnerabilidade relacionada à execução remota de código foi divulgada em 16 de dezembro de 2021 (CVE-2022-21969), a vulnerabilidade relacionada ao escalonamento de privilégios foi divulgada em fevereiro de 2022 e a vulnerabilidade mais recente foi divulgada em 27 de junho.
Ou seja, entre as vulnerabilidades divulgadas após maio, não houve relatos de vulnerabilidades relacionadas a comandos remotos ou criação de arquivos
Como os servidores Exchange foram totalmente corrigidos em 9 de julho de 2022, mas o WebShell não foi instalado até 21 de julho de 2022, é provável que o invasor tenha explorado um zero day. A AhnLabs afirma que existe uma possibilidade teórica de que as vulnerabilidades do Microsoft Exchange Server (CVE-2022-41040, CVE-2022-41082) divulgadas pela empresa de segurança vietnamita GTSC em 28 de setembro tenham sido exploradas para a infecção. Mas o método de ataque, o nome de arquivo do WebShell gerado e os ataques subsequentes após a instalação do WebShell sugerem que outro invasor explorou uma vulnerabilidade de dia zero diferente.