Falhas no MS Exchange Server explora vulnerabilidades em ataques direcionados
22 de Maio de 2024

Um ator de ameaças desconhecido está explorando falhas de segurança conhecidas no Microsoft Exchange Server para implantar um malware do tipo keylogger em ataques direcionados a entidades na África e no Oriente Médio.

A empresa russa de cibersegurança Positive Technologies disse que identificou mais de 30 vítimas abrangendo agências governamentais, bancos, empresas de TI e instituições de ensino.

O primeiro comprometimento registrado data de 2021.
"Esse keylogger estava coletando credenciais de conta em um arquivo acessível por um caminho especial da internet," a empresa disse em um relatório publicado na semana passada.
Os países alvo do conjunto de intrusões incluem Rússia, Emirados Árabes Unidos, Kuwait, Omã, Níger, Nigéria, Etiópia, Maurício, Jordânia e Líbano.

As cadeias de ataque começam com a exploração das falhas ProxyShell ( CVE-2021-34473 , CVE-2021-34523 e CVE-2021-31207 ) que foram originalmente corrigidas pela Microsoft em maio de 2021.

A exploração bem-sucedida das vulnerabilidades pode permitir que um invasor contorne a autenticação, eleve seus privilégios e execute código remoto não autenticado.

A cadeia de exploração foi descoberta e publicada por Orange Tsai da DEVCORE Research Team.

A exploração do ProxyShell é seguida pela adição, pelos atores da ameaça, do keylogger à página principal do servidor ("logon.aspx"), além da injeção de código responsável por capturar as credenciais para um arquivo acessível da internet após clicar no botão de login.

A Positive Technologies disse que não pode atribuir os ataques a um ator ou grupo de ameaças conhecido nesta fase sem informações adicionais.

Além de atualizar suas instâncias do Microsoft Exchange Server para a versão mais recente, as organizações são instadas a procurar possíveis sinais de comprometimento na página principal do Exchange Server, incluindo a função clkLgn(), onde o keylogger é inserido.

"Se seu servidor foi comprometido, identifique os dados de conta que foram roubados e exclua o arquivo onde esses dados estão armazenados pelos hackers", disse a empresa.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...