Você está visualizando atualmente Vulnerabilidades no Servidor MS Exchange Exploradas para Implantar Keylogger em Ataques Direcionados

Vulnerabilidades no Servidor MS Exchange Exploradas para Implantar Keylogger em Ataques Direcionados

Um ator ameaça desconhecido está explorando ​​falhas conhecidas de segurança no Microsoft Exchange Server para implantar um malware de keylogger em ataques direcionados a entidades na África e Oriente Médio.

A empresa russa de cibersegurança Positive Technologies disse que identificou mais de 30 vítimas abrangendo agências governamentais, bancos, empresas de TI e instituições educacionais. A primeira comprometida data de 2021.

“Este keylogger estava coletando credenciais de conta em um arquivo acessível por um caminho especial da internet”, disse a empresa em um relatório publicado na semana passada.

Os países alvo do ataque incluem Rússia, Emirados Árabes Unidos, Kuwait, Omã, Níger, Nigéria, Etiópia, Maurício, Jordânia e Líbano.

As cadeias de ataque começam com a exploração das falhas do ProxyShell (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207) que foram originalmente corrigidas pela Microsoft em maio de 2021.

Uma exploração bem-sucedida das vulnerabilidades poderia permitir que um atacante ignorasse a autenticação, elevasse seus privilégios e realizasse execução de código remoto não autenticada. A cadeia de exploração foi descoberta e publicada por Orange Tsai da equipe de pesquisa DEVCORE.

A exploração do ProxyShell é seguida pelos agentes de ameaças adicionando o keylogger à página principal do servidor (“logon.aspx”), além de injetar código responsável por capturar as credenciais em um arquivo acessível da internet ao clicar no botão de login.

Positive Technologies disse que não pode atribuir os ataques a um ator de ameaça conhecido ou grupo neste estágio sem informações adicionais.

Além de atualizar suas instâncias do Microsoft Exchange Server para a versão mais recente, as organizações são instadas a procurar sinais potenciais de comprometimento na página principal do Exchange Server, incluindo a função clkLgn() onde o keylogger é inserido.

“Se o seu servidor foi comprometido, identifique os dados da conta que foram roubados e exclua o arquivo onde esses dados estão armazenados pelos hackers”, disse a empresa. “Você pode encontrar o caminho para este arquivo no arquivo logon.aspx.”