FBI za zgodą sądu wykorzystał webshelle żeby… usunąć webshelle!

Rok 2021 jest dość niefortunny dla Microsoft Exchange, a wszystko za sprawą “ProxyLogon” – krytycznej podatności pozwalającej na zdalne wykonanie kodu.

I know there are lots of people waiting for the recent Microsoft Exchange pre-auth RCE on our side. This is a short advisory and detailed timeline. https://t.co/lgpW7AVZZJ#proxylogon

— Orange Tsai 🍊 (@orange_8361) March 5, 2021

Jak to zwykle bywa, tego typu exploity są wykorzystywane również przez cyberprzestępców:

We have detected and are now blocking a new family of ransomware being used after an initial compromise of unpatched on-premises Exchange Servers. Microsoft protects against this threat known as Ransom:Win32/DoejoCrypt.A, and also as DearCry.

— Microsoft Security Intelligence (@MsftSecIntel) March 12, 2021

Nie wszyscy są jednak świadomi zagrożenia, ignorując dostępność łatek zabezpieczających. Z pomocą przychodzi FBI:

Jak informuje Departament Sprawiedliwości USA, FBI przeprowadziło operację mającą na celu usuwanie webshelli z serwerów dotkniętych podatnością ProxyLogon:

The FBI conducted the removal by issuing a command through the web shell to the server, which was designed to cause the server to delete only the web shell (identified by its unique file path).

Działania FBI same w sobie nie są jednak wystarczające, gdyż aby wyeliminować lukę, należy wdrożyć łatkę zabezpieczającą (warto też przeanalizować czy atakujący nie pozostawili dodatkowych „niespodzianek”) . Warto wspomnieć, że cała akcja została przeprowadzona w pełni legalnie, za zgodą sądu:

Niepokojącą informacją jest fakt, że badacz odpowiedzialny za “ProxyLogon” w ramach konkursu “Pwn2Own” znalazł kolejną krytyczną podatność do Microsoft Exchange:

Originally, I was very depressed about the bug collision(the SSRF part in #ProxyLogon exploit) with bad APT groups☹️ So I decided to sit down and dig for a new one… Here it is! https://t.co/zrtnW0Cmwq

— Orange Tsai 🍊 (@orange_8361) April 6, 2021

Do “zabawy” dołączyło także NSA, zgłaszając swoje znaleziska:

NSA urges applying critical Microsoft patches released today, as exploitation of these #vulnerabilities could allow persistent access and control of enterprise networks.https://t.co/SYkqmjeM2h

— NSA Cyber (@NSACyber) April 13, 2021

~ Jakub Bielaszewski