ProxyShell
O que é ProxyShell?
ProxyShellCadeia de exploits de 2021 no Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) que combinou três falhas para alcançar execução remota de código sem autenticação.
O ProxyShell é o nome de uma cadeia de três vulnerabilidades do Microsoft Exchange Server demonstrada pelo investigador Orange Tsai (DEVCORE) na Pwn2Own 2021 e detalhada na Black Hat USA. A cadeia une uma falha de confusão de caminhos/SSRF anterior à autenticação no tratamento de Autodiscover do Client Access Service (CVE-2021-34473), uma falha de elevação de privilégios no backend PowerShell do Exchange (CVE-2021-34523) e uma escrita arbitrária de ficheiros posterior à autenticação através da funcionalidade de exportação de caixas de correio do PowerShell (CVE-2021-31207).
O exploit funciona porque o frontend do Exchange encaminha pedidos para os endpoints do backend usando o poderoso contexto de máquina NT AUTHORITY\SYSTEM. Ao contrabandear um URL de Autodiscover forjado, o atacante alcança o backend PowerShell como utilizador privilegiado, gera um token elevado e depois usa uma exportação de caixa de correio para escrever um ficheiro PST contendo uma web shell num diretório acessível pela Internet — transformando três bugs de "menor severidade" numa RCE não autenticada como SYSTEM. De forma confusa, as CVE-2021-34473 e CVE-2021-34523 foram corrigidas em silêncio na atualização cumulativa de abril de 2021 antes de os avisos surgirem em julho, pelo que muitos administradores não perceberam que estavam afetados.
A varredura em massa e a implantação de web shells .aspx começaram poucos dias após os avisos de agosto de 2021; os ransomwares LockFile e Conti aproveitaram-no para o acesso inicial. Defesas: instalar as atualizações cumulativas de 2021, ativar o Exchange Emergency Mitigation Service, procurar web shells inesperadas e assumir que o comprometimento do Exchange on-premise antecede a aplicação de patches.
flowchart TD A[Atacante não autenticado] --> B[URL de Autodiscover forjado<br/>CVE-2021-34473 confusão de caminhos/SSRF] B --> C[O frontend encaminha para o backend<br/>como NT AUTHORITY/SYSTEM] C --> D[Alcança o backend PowerShell do Exchange<br/>CVE-2021-34523 elevação de privilégios] D --> E[New-MailboxExportRequest<br/>CVE-2021-31207 escrita arbitrária de ficheiros] E --> F[Escreve uma web shell .aspx<br/>num caminho acessível pela web] F --> G[Execução remota de código como SYSTEM] G --> H[Ransomware / movimento lateral]
● Exemplos
- 01
Atacantes a implantar web shells ASPX em servidores Exchange expostos à Internet logo após a publicação das PoC do ProxyShell.
- 02
Grupos de ransomware a usar o ProxyShell como vetor de acesso inicial antes de cifrar as redes das vítimas.
● Perguntas frequentes
O que é ProxyShell?
Cadeia de exploits de 2021 no Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) que combinou três falhas para alcançar execução remota de código sem autenticação. Pertence à categoria Vulnerabilidades da cibersegurança.
O que significa ProxyShell?
Cadeia de exploits de 2021 no Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) que combinou três falhas para alcançar execução remota de código sem autenticação.
Como se defender contra ProxyShell?
As defesas contra ProxyShell costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para ProxyShell?
Nomes alternativos comuns: Exchange ProxyShell, Orange Tsai Exchange chain.