Una nuova minaccia affligge i server Exchange on premise

I ricercatori di sicurezza segnalano difetti precedentemente non divulgati nei server Microsoft Exchange completamente patchati che vengono sfruttati da attori malintenzionati in attacchi reali per eseguire codice in remoto sui sistemi interessati (RCE - Remote Code Execution)

Questo secondo la società vietnamita di sicurezza informatica GTSC, che ha scoperto le carenze nell'ambito del monitoraggio della sicurezza e degli sforzi di risposta agli incidenti nell'agosto 2022.

Le due vulnerabilità, a cui devono ancora essere assegnati identificatori CVE, vengono tracciate dalla Zero Day Initiative come ZDI-CAN-18333 (punteggio CVSS: 8,8) e ZDI-CAN-18802 (punteggio CVSS: 6,3).

GTSC ha affermato che la riuscita nello sfruttamento delle falle potrebbe essere abusato per accedere nei sistemi della vittime, consentendo agli attaccanti di rilasciare shell web ed eseguire movimenti laterali attraverso la rete compromessa.

"Abbiamo rilevato webshell, per lo più offuscate, rilasciate sui server Exchange" - ha osservato la società. - "Utilizzando lo user-agent, abbiamo rilevato che l'attaccante utilizza Antsword, uno strumento attivo di amministrazione di siti Web multipiattaforma open source con sede in cinese che supporta la gestione della shell Web".

Si dice che le richieste dello sfruttamento nei registri di IIS appaiano nello stesso formato delle vulnerabilità di ProxyShell Exchange Server, GTSC ha notato che i server presi di mira erano già stati corretti per i difetti emersi nel marzo 2021.

La società di sicurezza informatica ha teorizzato che gli attacchi siano probabilmente originati da un gruppo di hacker cinesi a causa della codifica della shell web in cinese semplificato (Windows code page 936).

Negli attacchi è stata implementata anche la web shell China Chopper, una backdoor leggera che può garantire un accesso remoto persistente e consentire agli aggressori di riconnettersi in qualsiasi momento per un ulteriore sfruttamento.

Vale la pena notare che la web shell China Chopper è stata implementata anche da Hafnium, un sospetto gruppo sponsorizzato dallo stato che opera fuori dalla Cina, quando le vulnerabilità di ProxyShell sono state oggetto di un diffuso sfruttamento lo scorso anno.

Ulteriori attività successive allo sfruttamento osservate da GTSC implicano l'iniezione di DLL dannose nella memoria, il rilascio e l'esecuzione di payload aggiuntivi sui server infetti utilizzando l'utilità della riga di comando WMI (WMIC).

La società ha affermato che almeno più di un'organizzazione è stata vittima di una campagna di attacco che ha sfruttato i difetti zero-day. Ulteriori dettagli sui bug sono stati nascosti alla luce dello sfruttamento attivo.

Che cosa fare?

Come soluzione temporanea si consiglia di aggiungere una regola per bloccare le richieste con indicatori di compromissione utilizzando il modulo URL Rewrite Rule per i server IIS:

• In individuazione automatica in FrontEnd, seleziona la scheda URL Rewrite, quindi seleziona Richiedi blocco
• Aggiungi la stringa ".*autodiscover\.json.*\@.*Powershell.*" al percorso dell'URL e
• Condizione di input: Choose {REQUEST_URI}

"Posso confermare che un numero significativo di server Exchange è stato affetto da backdoor, incluso un honeypot" - ha affermato il ricercatore di sicurezza Kevin Beaumont in una serie di tweet, aggiungendo: - "sembra di nuovo una variante del proxy all'interfaccia di amministrazione".

"Se non si esegue Microsoft Exchange in sede e non si dispone di Outlook Web App su Internet, non si è interessati" - ha affermato Beaumont.

Fonte: The Hacker News