Marcos Souza 
A Microsoft detectou 4 falhas de 0-day sendo usadas para atacar versões locais do Microsoft Exchange Server em ataques limitados e direcionados. Nos ataques observados, o ator de ameaças usou essas vulnerabilidades para acessar servidores do Exchange no local, o que permitiu o acesso a contas de e-mail e permitiu a instalação de malware adicional para facilitar o acesso a longo prazo aos ambientes das vítimas. O Microsoft Threat Intelligence Center (MSTIC) atribui esta campanha com alta confiança ao HAFNIUM, um grupo avaliado como patrocinado pelo Estado e operando fora da China, com base em vitimologia, táticas e procedimentos observados.
As vulnerabilidades que estão sendo exploradas recentemente foram CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065, todas abordadas na versão de hoje do Microsoft Security Response Center (MSRC) – Múltiplas Atualizaçõesde Segurança lançadas para o Exchange Server . Pedimos fortemente aos clientes que atualizem os sistemas no local imediatamente. O Exchange Online não é afetado. Estabelecemos um centro de recursos que é constantemente atualizado à medida que mais informações são disponibilizadas em https://aka.ms/ExchangeVulns.
Estamos compartilhando essas informações com nossos clientes e a comunidade de segurança para enfatizar a natureza crítica dessas vulnerabilidades e a importância de corrigir todos os sistemas afetados imediatamente para proteger contra essas explorações e prevenir abusos futuros em todo o ecossistema. Este blog também continua nossa missão de iluminar atores maliciosos e elevar a consciência das táticas e técnicas sofisticadas usadas para atingir nossos clientes. Os IOCs relacionados, as consultas avançadas de caça do Azure Sentinel e o Microsoft Defender para detecções e consultas de produtos Endpoint compartilhadas neste blog ajudarão os SOCs a caçar proativamente atividades relacionadas em seus ambientes e elevar quaisquer alertas para remediação.
A Microsoft gostaria de agradecer aos nossos colegas do setor na Volexity e dubex por relatar diferentes partes da cadeia de ataque e sua colaboração na investigação. A Volexity também publicou um post no blog com sua análise. É esse nível de comunicação proativa e compartilhamento de inteligência que permite que a comunidade se una para se antecipar aos ataques antes que eles se espalhem e melhorem a segurança para todos.
Quem é HAFNIUM?
O HAFNIUM tem como alvo principalmente entidades nos Estados Unidos em vários setores da indústria, incluindo pesquisadores de doenças infecciosas, escritórios de advocacia, instituições de ensino superior, empreiteiros de defesa, think tanks de políticas e ONGs.
O HAFNIUM já comprometeu as vítimas explorando vulnerabilidades em servidores voltados para a Internet e usou estruturas legítimas de código aberto, como o Covenant,para comando e controle. Uma vez que eles tenham acesso a uma rede de vítimas, o HAFNIUM normalmente exfiltra dados para sites de compartilhamento de arquivos como o MEGA.
Em campanhas não relacionadas a essas vulnerabilidades, a Microsoft observou o HAFNIUM interagindo com a vítima Escritório 365 Inquilinos. Embora muitas vezes não sejam bem sucedidos em comprometer as contas dos clientes, essa atividade de reconhecimento ajuda o adversário a identificar mais detalhes sobre os ambientes de seus alvos.
O HAFNIUM opera principalmente a partir de servidores privados virtuais alugados (VPS) nos Estados Unidos.
Detalhes técnicos
A Microsoft está fornecendo os seguintes detalhes para ajudar nossos clientes a entender as técnicas usadas pela HAFNIUM para explorar essas vulnerabilidades e permitir uma defesa mais eficaz contra quaisquer ataques futuros contra sistemas não reparados.
CVE-2021-26855 é uma falha de falsificação de solicitação do lado do servidor (SSRF) no Exchange que permitiu ao invasor enviar solicitações HTTP arbitrárias e autenticar como o servidor Exchange.
O CVE-2021-26857 é uma vulnerabilidade insegura de dessaserialização no serviço de Mensagens Unificadas. A deserialização insegura é onde dados não confiáveis controláveis pelo usuário são desercionados por um programa. Explorar essa vulnerabilidade deu ao HAFNIUM a capacidade de executar o código como SISTEMA no servidor Exchange. Isso requer permissão do administrador ou outra vulnerabilidade para explorar.
CVE-2021-26858 é uma vulnerabilidade de gravação arbitrária de arquivos pós-autenticação no Exchange. Se o HAFNIUM pudesse autenticar com o servidor Exchange, eles poderiam usar essa vulnerabilidade para gravar um arquivo para qualquer caminho no servidor. Eles poderiam autenticar explorando a vulnerabilidade do SSRF CVE-2021-26855 ou comprometendo as credenciais de um administrador legítimo.
CVE-2021-27065 é uma vulnerabilidade de gravação arbitrária de arquivos pós-autenticação no Exchange. Se o HAFNIUM pudesse autenticar com o servidor Exchange, eles poderiam usar essa vulnerabilidade para gravar um arquivo para qualquer caminho no servidor. Eles poderiam autenticar explorando a vulnerabilidade do SSRF CVE-2021-26855 ou comprometendo as credenciais de um administrador legítimo.
Detalhes de ataque
Depois de explorar essas vulnerabilidades para obter acesso inicial, os operadores do HAFNIUM implantaram shells web no servidor comprometido. Os shells da Web potencialmente permitem que os invasores roubem dados e realizem ações maliciosas adicionais que levam a um compromisso adicional. Um exemplo de um web shell implantado pela HAFNIUM, escrito em ASP, está abaixo:
Após a implantação do web shell, os operadores do HAFNIUM realizaram a seguinte atividade pós-exploração:
- Usando o Procdump para despejar a memória do processo LSASS:
- Usando o 7-Zip para compactar dados roubados em arquivos ZIP para exfiltração:
- Adicionando e usando snap-ins do Exchange PowerShell para exportar dados da caixa de correio:
- Usando o shell reverso Nishang Invoke-PowerShellTcpOneLine:
- Baixando o PowerCat do GitHub e, em seguida, usando-o para abrir uma conexão para um servidor remoto:
Os operadores do HAFNIUM também foram capazes de baixar o catálogo de endereços offline exchange de sistemas comprometidos, que contém informações sobre uma organização e seus usuários.
Nosso blog, Defendendo servidores do Exchange sob ataque,oferece conselhos para melhorar as defesas contra o compromisso do servidor Exchange. Os clientes também podem encontrar orientações adicionais sobre ataques de shell web em nosso blog Ataques de shell web continuam a aumentar.
Posso determinar se fui comprometido por essa atividade?
As seções abaixo fornecem indicadores de compromisso (IOCs), orientação de detecção e consultas avançadas de caça para ajudar os clientes a investigar essa atividade usando registros de servidores do Exchange, Azure Sentinel, Microsoft Defender for Endpoint e Microsoft 365 Defensor. Encorajamos nossos clientes a realizar investigações e implementar detecções proativas para identificar possíveis campanhas anteriores e prevenir futuras campanhas que possam atingir seus sistemas.
Verifique os níveis de patch do Servidor de Troca
A equipe do Microsoft Exchange Server publicou um post no blog sobre essas novas Atualizações de Segurança fornecendo um script para obter um inventário rápido do status de patch-level dos servidores exchange no local e responder algumas perguntas básicas sobre a instalação desses patches.
Digitalizar arquivos de log do Exchange para indicadores de compromisso
A equipe do Exchange Server criou um script para executar uma verificação de IOCs hafnium para resolver preocupações de desempenho e memória. Esse roteiro está disponível aqui: https://github.com/microsoft/CSS-Exchange/tree/main/Security.
- A exploração do CVE-2021-26855 pode ser detectada através dos seguintes registros do Exchange HttpProxy:
- Esses logs estão localizados no seguinte diretório: %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy
- A exploração pode ser identificada procurando entradas de log onde o AuthenticatedUser está vazio e o AnchorMailbox contém o padrão do ServerInfo~**
- Aqui está um exemplo do comando PowerShell para encontrar essas entradas de registro:
Import-Csv -Path (Get-ChildItem -Recurse -Path "$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy" -Filter '*.log').FullName | Where-Object { $_.AnchorMailbox -like 'ServerInfo~*/*' -or $_.BackEndCookie -like 'Server~*/*~*'} | select DateTime, AnchorMailbox, UrlStem, RoutingHint, ErrorCode, TargetServerVersion, BackEndCookie, GenericInfo, GenericErrors, UrlHost, Protocol, Method, RoutingType, AuthenticationType, ServerHostName, HttpStatus, BackEndStatus, UserAgent
-
- Se a atividade for detectada, os registros específicos do aplicativo especificado no caminho AnchorMailbox podem ser usados para ajudar a determinar quais ações foram tomadas.
- Esses logs estão localizados no diretório %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging.
- Se a atividade for detectada, os registros específicos do aplicativo especificado no caminho AnchorMailbox podem ser usados para ajudar a determinar quais ações foram tomadas.
- A exploração CVE-2021-26858 pode ser detectada através dos arquivos de registro do Exchange:
- C:\Arquivos do programa\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog
- Os arquivos só devem ser baixados para o diretório %PROGRAMFILES%\Microsoft\Exchange Server\V15\ClientAccess\OAB\Temp
- Em caso de exploração, os arquivos são baixados para outros diretórios (UNC ou caminhos locais)
- Comando do Windows para procurar exploração potencial:
findstr /snip /c:"Download failed and temporary file" "%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog\*.log"
- A exploração do CVE-2021-26857 pode ser detectada através dos registros de eventos do Aplicativo Windows
- A exploração deste bug de deserialização criará eventos de aplicativos com as seguintes propriedades:
- Fonte: MSExchange Mensagens Unificadas
- EntryType: Erro
- Mensagem de evento contém: System.InvalidCastException
- A seguir está o comando PowerShell para consultar o Registro de Eventos de Aplicativo para essas entradas de registro:
- A exploração deste bug de deserialização criará eventos de aplicativos com as seguintes propriedades:
Get-EventLog -LogName Application -Source "MSExchange Unified Messaging" -EntryType Error | Where-Object { $_.Message -like "*System.InvalidCastException*" }
- A exploração do CVE-2021-27065 pode ser detectada através dos seguintes arquivos de registro do Exchange:
- C:\Arquivos do programa\Microsoft\Exchange Server\V15\Logging\ECP\Server
Todas as propriedades Set-<AppName>VirtualDirectory nunca devem conter script. InternalUrl e ExternalUrl só devem ser válidos Uris.
-
- A seguir está um comando powershell para procurar exploração potencial:
Select-String -Path "$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\ECP\Server\*.log" -Pattern 'Set-.+VirtualDirectory'
IOCs hospedeiros
A Microsoft está lançando um feed de indicadores observados de compromisso (IOCs) em ataques relacionados. Este feed está disponível nos formatos CSV e JSON. Essas informações estão sendo compartilhadas como TLP:WHITE.
Hashes
Hashes da web shell
- b75f163ca9b9240bf4b37ad92bc756b40a17e27c2b8ed5c8991385fe07d17d0
- 097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e
- 2b6f1ebb2208e93ade4a642455d6a8341fd6d9f60c25e44afe11008f5c1aad1
- 65149e036fff06026d80ac9ad4d156322dc93142cf122b1841ec8de34b5
- 511df0e2df9bfa521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1
- 4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf13f8ea
- 811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d
- 1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944
Caminhos
Observamos web shells nos seguintes caminhos:
- C:\inetpub\wwwroot\aspnet_client\
- C:\inetpub\wwwroot\aspnet_client\system_web\
- Em caminhos de instalação do Microsoft Exchange Server, tais como:
- %PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\
- C:\Exchange\FrontEnd\HttpProxy\owa\auth\
Os projéteis web que detectamos tinham os seguintes nomes de arquivo:
- web.aspx
- ajudar.aspx
- documento.aspx
- erroEE.aspx
- erroEEE.aspx
- erroEW.aspx
- erroFF.aspx
- healthcheck.aspx
- aspnet_www.aspx
- aspnet_client.aspx
- xx.aspx
- Shell.aspx
- aspnet_iisstart.aspx
- um.aspx
Verifique se há .zip suspeitos, .rar e .7z arquivos em C:\ProgramData\, o que pode indicar possível exfiltração de dados.
Os clientes devem monitorar esses caminhos para despejos LSASS:
- C:\windows\temp\
- C:\raiz\
Ferramentas
Muitas das detecções a seguir são para técnicas de pós-violação usadas pelo HAFNIUM. Assim, embora estes ajudem a detectar alguns dos ataques atuais específicos que a Microsoft observou, é muito importante aplicar as atualizações recém-lançadas para CVE-2021-26855, CVE-2021-26857, CVE-2021-27065 e CVE-2021-26858.
Detecções do Microsoft Defender Antivirus
Por favor, note que algumas dessas detecções são detecções genéricas e não exclusivas desta campanha ou dessas façanhas.
- Explorar:Script/Exmann.A!dha
- Comportamento:Win32/Exmann.A
- Backdoor:ASP/SecChecker.A
- Backdoor:JS/Webshell (não único)
- Trojan:JS/Chopper!dha (não único)
- Comportamento:Win32/DumpLsass.A!attk (não único)
- Backdoor:HTML/TwoFaceVar.B (não único)
Microsoft Defender para detecções de endpoint
- Criação de processos um de troca suspeita
- Criação de arquivos Um de Troca Suspeita
- Possível instalação de web shell (não exclusiva)
- Despejo de memória de processo (não único)
Detecções do Azure Sentinel
- Pedido de troca suspeito hafnium
- HAFNIUM UM Service escrevendo arquivo suspeito
- Hafnium Novo Processo Infantil de Serviço UM
- Erros de serviço um suspeitos do HAFNIUM
- Downloads de arquivos suspeitos do HAFNIUM
Consultas de caça avançadas
Para localizar possíveis atividades de exploração relacionadas ao conteúdo deste blog, você pode executar as seguintes consultas de caça avançadas via Microsoft Defender para Endpoint e Azure Sentinel:
Microsoft Defender para consultas avançadas de caça endpoint
Microsoft 365 Os clientes do Defender podem encontrar consultas de caça relacionadas abaixo ou neste local do GitHub: https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries/
Consultas e informações adicionais estão disponíveis através do portal Threat Analytics para clientes do Microsoft Defender.
UMWorkerProcess.exe em Exchange criando conteúdo anormal
Procure o serviço de mensagens unificadas do Microsoft Exchange Server criando conteúdo não padrão em disco, o que pode indicar shells web ou outros conteúdos maliciosos, sugerindo a exploração da vulnerabilidade CVE-2021-26858:
DeviceFileEvents | where InitiatingProcessFileName == "UMWorkerProcess.exe" | where FileName != "CacheCleanup.bin" | where FileName !endswith ".txt" | where FileName !endswith ".LOG" | where FileName !endswith ".cfg" | where FileName != "cleanup.bin"
Criação de UmWorkerProcess.exe
Procure o serviço de mensagens unificadas do Microsoft Exchange Server gerando subprocessos anormais, sugerindo a exploração da vulnerabilidade CVE-2021-26857:
DeviceProcessEvents | where InitiatingProcessFileName == "UMWorkerProcess.exe" | where FileName != "wermgr.exe" | where FileName != "WerFault.exe"
Observe que a desova excessiva de wermgr.exe e WerFault.exe pode ser um indicador de comprometimento devido à queda do serviço durante a deserialização.
Consultas avançadas de caça do Azure Sentinel
Os clientes do Azure Sentinel podem encontrar uma consulta sentinela contendo esses indicadores no Portal Sentinela do Azure ou neste local do GitHub: https://github.com/Azure/Azure-Sentinel/tree/master/Detections/MultipleDataSources/.
Procure por Nishang Invoke-PowerShellTcpOneLine no registro de eventos do Windows:
SecurityEvent | where EventID == 4688 | where Process has_any ("powershell.exe", "PowerShell_ISE.exe") | where CommandLine has "$client = New-Object System.Net.Sockets.TCPClient"
Procure downloads de PowerCat na linha de comando CMD e Powershell no Windows Event Logs:
SecurityEvent | where EventID == 4688 | where Process has_any ("cmd.exe", "powershell.exe", "PowerShell_ISE.exe") | where CommandLine has "https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1"
Procure por Exchange PowerShell Snapin sendo carregado. Isso pode ser usado para exportar dados da caixa de correio, as linhas de comando subsequentes devem ser inspecionadas para verificar o uso:
SecurityEvent | where EventID == 4688 | where Process has_any ("cmd.exe", "powershell.exe", "PowerShell_ISE.exe") | where isnotempty(CommandLine) | where CommandLine contains "Add-PSSnapin Microsoft.Exchange.Powershell.Snapin" | summarize FirstSeen = min(TimeGenerated), LastSeen = max(TimeGenerated) by Computer, Account, CommandLine
Dada a gravidade das falhas, não é surpresa que os patches tenham sido lançados uma semana antes do cronograma de Terça-feira de Patch da empresa, que é normalmente reservado para a segunda terça-feira de cada mês. Os clientes que usam uma versão vulnerável do Exchange Server são recomendados a instalar as atualizações imediatamente para impedir esses ataques.
“Embora tenhamos trabalhado rapidamente para implantar uma atualização para as explorações do Hafnium, sabemos que muitos atores e grupos criminosos do Estado-nação se moverão rapidamente para tirar proveito de quaisquer sistemas não reparados”, disse o vice-presidente corporativo de segurança do cliente da Microsoft, Tom Burt. “Aplicar prontamente os patches de hoje é a melhor proteção contra este ataque.
Fonte: HAFNIUM targeting Exchange Servers with 0-day exploits | Microsoft Security Blog
