Você está visualizando atualmente Vulnerabilidades Do Servidor MS Exchange Exploradas Para Implementar Keylogger Em Ataques Direcionados

Vulnerabilidades Do Servidor MS Exchange Exploradas Para Implementar Keylogger Em Ataques Direcionados

Um ator desconhecido está explorando falhas de segurança conhecidas no Microsoft Exchange Server para implantar malware keylogger em ataques direcionados a entidades na África e no Oriente Médio.

A empresa russa de cibersegurança Positive Technologies afirmou ter identificado mais de 30 vítimas, incluindo agências governamentais, bancos, empresas de TI e instituições de ensino. A primeira invasão data de 2021.

“Este keylogger estava coletando credenciais de contas em um arquivo acessível por um caminho especial da internet”, disse a empresa em um relatório publicado na semana passada.

Os países alvos incluem Rússia, Emirados Árabes Unidos, Kuwait, Omã, Níger, Nigéria, Etiópia, Maurício, Jordânia e Líbano.

As cadeias de ataque começam com a exploração das falhas ProxyShell (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207), originalmente corrigidas pela Microsoft em maio de 2021.

A exploração bem-sucedida das vulnerabilidades poderia permitir que um invasor evitasse a autenticação, elevasse seus privilégios e executasse um código remoto não autenticado. A cadeia de exploração foi descoberta e publicada pela equipe de pesquisa DEVCORE Research, liderada por Orange Tsai.

A exploração do ProxyShell é seguida pelos atores adicionando o keylogger à página principal do servidor (“logon.aspx”), além de injetar um código responsável por capturar as credenciais em um arquivo acessível pela internet ao clicar no botão de login.

A Positive Technologies afirmou que não pode atribuir os ataques a um ator ou grupo conhecido neste estágio sem informações adicionais.

Além de atualizar suas instâncias do Microsoft Exchange Server para a versão mais recente, as organizações são instadas a procurar possíveis sinais de comprometimento na página principal do Exchange Server, incluindo a função clkLgn(), onde o keylogger é inserido.

“Se o seu servidor foi comprometido, identifique os dados da conta que foram roubados e exclua o arquivo onde esses dados são armazenados pelos hackers”, disse a empresa. “Você pode encontrar o caminho para este arquivo no arquivo logon.aspx.”