Você está visualizando atualmente Vulnerabilidades do MS Exchange Server Exploradas para Implantação de Keylogger em Ataques Direcionados

Vulnerabilidades do MS Exchange Server Exploradas para Implantação de Keylogger em Ataques Direcionados

Um ator desconhecido está explorando falhas de segurança conhecidas no Microsoft Exchange Server para implantar um malware keylogger em ataques direcionados a entidades na África e no Oriente Médio.

A empresa de cibersegurança russa Positive Technologies afirmou ter identificado mais de 30 vítimas, incluindo agências governamentais, bancos, empresas de TI e instituições educacionais. O comprometimento mais antigo remonta a 2021.

“Este keylogger estava coletando credenciais de conta em um arquivo acessível por um caminho especial na internet”, disse a empresa em um relatório publicado na semana passada.

Os países alvos do ataque incluem Rússia, Emirados Árabes Unidos, Kuwait, Omã, Níger, Nigéria, Etiópia, Maurício, Jordânia e Líbano.

As cadeias de ataque começam com a exploração das falhas ProxyShell (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207) que foram originalmente corrigidas pela Microsoft em maio de 2021.

A exploração bem-sucedida das vulnerabilidades poderia permitir que um invasor ignorasse a autenticação, elevasse seus privilégios e realizasse execução de código remoto não autenticado. A cadeia de exploração foi descoberta e publicada por Orange Tsai da DEVCORE Research Team.

A exploração ProxyShell é seguida pelos atores de ameaça adicionando o keylogger à página principal do servidor (“logon.aspx”), além de injetar código responsável por capturar as credenciais em um arquivo acessível na internet ao clicar no botão de login.

Positive Technologies disse que não pode atribuir os ataques a um ator ou grupo de ameaças conhecidos neste momento sem informações adicionais.

Além de atualizar suas instâncias do Microsoft Exchange Server para a versão mais recente, as organizações são incentivadas a procurar sinais de comprometimento na página principal do Exchange Server, incluindo a função clkLgn() onde o keylogger é inserido.

“Se seu servidor foi comprometido, identifique os dados da conta que foram roubados e exclua o arquivo onde esses dados são armazenados pelos hackers”, disse a empresa. “Você pode encontrar o caminho para esse arquivo no arquivo logon.aspx.”