ProxyShell
¿Qué es ProxyShell?
ProxyShellCadena de exploits de 2021 en Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) que combinó tres fallos para lograr ejecución remota de código sin autenticación.
ProxyShell es el nombre de una cadena de tres vulnerabilidades de Microsoft Exchange Server demostrada por el investigador Orange Tsai (DEVCORE) en Pwn2Own 2021 y detallada en Black Hat USA. La cadena entrelaza un fallo de confusión de rutas/SSRF previo a la autenticación en el tratamiento de Autodiscover del Client Access Service (CVE-2021-34473), un fallo de elevación de privilegios en el backend de PowerShell de Exchange (CVE-2021-34523) y una escritura arbitraria de ficheros posterior a la autenticación a través de la función de exportación de buzones de PowerShell (CVE-2021-31207).
El exploit funciona porque el frontend de Exchange redirige las solicitudes a los endpoints del backend usando el potente contexto de máquina NT AUTHORITY\SYSTEM. Al introducir de forma encubierta una URL de Autodiscover manipulada, el atacante alcanza el backend de PowerShell como usuario privilegiado, acuña un token elevado y luego usa una exportación de buzón para escribir un fichero PST que contiene una web shell en un directorio accesible desde Internet, convirtiendo tres errores de "menor severidad" en una RCE sin autenticación como SYSTEM. De forma confusa, CVE-2021-34473 y CVE-2021-34523 se corrigieron en silencio en la actualización acumulativa de abril de 2021 antes de que aparecieran los avisos en julio, por lo que muchos administradores no se dieron cuenta de que estaban afectados.
El escaneo masivo y el despliegue de web shells .aspx comenzaron pocos días después de los avisos de agosto de 2021; los ransomware LockFile y Conti lo aprovecharon para el acceso inicial. Defensas: aplicar las actualizaciones acumulativas de 2021, habilitar el Exchange Emergency Mitigation Service, buscar web shells inesperadas y asumir que el compromiso del Exchange on-premise es anterior al parcheo.
flowchart TD A[Atacante sin autenticación] --> B[URL de Autodiscover manipulada<br/>CVE-2021-34473 confusión de rutas/SSRF] B --> C[El frontend redirige al backend<br/>como NT AUTHORITY/SYSTEM] C --> D[Alcanza el backend de PowerShell de Exchange<br/>CVE-2021-34523 elevación de privilegios] D --> E[New-MailboxExportRequest<br/>CVE-2021-31207 escritura arbitraria de ficheros] E --> F[Escribe una web shell .aspx<br/>en una ruta accesible desde la web] F --> G[Ejecución remota de código como SYSTEM] G --> H[Ransomware / movimiento lateral]
● Ejemplos
- 01
Atacantes desplegando web shells ASPX en servidores Exchange expuestos a Internet justo después de publicarse las PoC de ProxyShell.
- 02
Grupos de ransomware usando ProxyShell como vector de acceso inicial antes de cifrar las redes de las víctimas.
● Preguntas frecuentes
¿Qué es ProxyShell?
Cadena de exploits de 2021 en Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) que combinó tres fallos para lograr ejecución remota de código sin autenticación. Pertenece a la categoría de Vulnerabilidades en ciberseguridad.
¿Qué significa ProxyShell?
Cadena de exploits de 2021 en Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) que combinó tres fallos para lograr ejecución remota de código sin autenticación.
¿Cómo defenderse de ProxyShell?
Las defensas contra ProxyShell combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para ProxyShell?
Nombres alternativos comunes: Exchange ProxyShell, Orange Tsai Exchange chain.