Você está visualizando atualmente Falhas No Servidor MS Exchange Exploradas Para Implantar Keylogger Em Ataques Direcionados

Falhas No Servidor MS Exchange Exploradas Para Implantar Keylogger Em Ataques Direcionados

Um ator de ameaça desconhecido está aproveitando falhas de segurança conhecidas no Microsoft Exchange Server para implantar um malware keylogger em ataques direcionados a entidades na África e no Oriente Médio.

A empresa de segurança cibernética russa Positive Technologies disse que identificou mais de 30 vítimas, incluindo agências governamentais, bancos, empresas de TI e instituições de ensino. A primeira comprometimento data de 2021.

“Este keylogger estava coletando credenciais de conta em um arquivo acessível por um caminho especial a partir da internet”, disse a empresa em um relatório publicado na semana passada.

Os países alvo do ataque incluem Rússia, Emirados Árabes Unidos, Kuwait, Omã, Níger, Nigéria, Etiópia, Maurício, Jordânia e Líbano.

As cadeias de ataques começam com a exploração das falhas ProxyShell (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207) originalmente corrigidas pela Microsoft em maio de 2021.

Com sucesso na exploração das vulnerabilidades, um atacante poderia contornar a autenticação, elevar seus privilégios e realizar execução de código remoto não autenticado. A cadeia de exploração foi descoberta e publicada por Orange Tsai da equipe de pesquisa DEVCORE.

A exploração do ProxyShell é seguida pelos atores de ameaça adicionando o keylogger à página principal do servidor (“logon.aspx”), além de injetar código responsável por capturar as credenciais em um arquivo acessível a partir da internet ao clicar no botão de login.

A Positive Technologies afirmou que não pode atribuir os ataques a um ator ou grupo de ameaças conhecido neste estágio sem informações adicionais.

Além de atualizar suas instâncias do Microsoft Exchange Server para a versão mais recente, as organizações são instadas a procurar sinais de comprometimento na página principal do Exchange Server, incluindo a função clkLgn() onde o keylogger é inserido.

“Se seu servidor foi comprometido, identifique os dados da conta que foram roubados e exclua o arquivo onde esses dados são armazenados pelos hackers”, disse a empresa. “Você pode encontrar o caminho para este arquivo no arquivo logon.aspx”.