ProxyShell
Что такое ProxyShell?
ProxyShellЦепочка эксплойтов 2021 года в Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207), объединившая три дефекта в неаутентифицированное удалённое выполнение кода.
ProxyShell — это название цепочки из трёх уязвимостей Microsoft Exchange Server, продемонстрированной исследователем Orange Tsai (DEVCORE) на Pwn2Own 2021 и подробно изложенной на Black Hat USA. Цепочка связывает воедино доаутентификационный дефект путаницы путей/SSRF в обработке Autodiscover в Client Access Service (CVE-2021-34473), дефект повышения привилегий в бэкенде Exchange PowerShell (CVE-2021-34523) и постаутентификационную произвольную запись файлов через функцию экспорта почтового ящика PowerShell (CVE-2021-31207).
Эксплойт работает потому, что фронтенд Exchange проксирует запросы к эндпоинтам бэкенда, используя мощный машинный контекст NT AUTHORITY\SYSTEM. Подсовывая сформированный URL Autodiscover, атакующий достигает бэкенда PowerShell в качестве привилегированного пользователя, выпускает повышенный токен, а затем использует экспорт почтового ящика, чтобы записать файл PST с web shell в каталог, доступный из интернета, — превращая три бага «пониженной серьёзности» в неаутентифицированное RCE с правами SYSTEM. Что сбивает с толку, CVE-2021-34473 и CVE-2021-34523 были незаметно исправлены в кумулятивном обновлении за апрель 2021 года ещё до появления бюллетеней в июле, поэтому многие администраторы не осознавали, что они затронуты.
Массовое сканирование и развёртывание web shell .aspx начались в течение нескольких дней после бюллетеней августа 2021 года; шифровальщики LockFile и Conti использовали это для первичного доступа. Защита: установить кумулятивные обновления 2021 года, включить Exchange Emergency Mitigation Service, искать неожиданные web shell и исходить из того, что компрометация локального Exchange предшествует установке патчей.
flowchart TD A[Неаутентифицированный атакующий] --> B[Сформированный URL Autodiscover<br/>CVE-2021-34473 путаница путей/SSRF] B --> C[Фронтенд проксирует к бэкенду<br/>как NT AUTHORITY/SYSTEM] C --> D[Достижение бэкенда Exchange PowerShell<br/>CVE-2021-34523 повышение привилегий] D --> E[New-MailboxExportRequest<br/>CVE-2021-31207 произвольная запись файлов] E --> F[Запись web shell .aspx<br/>в доступный из веба путь] F --> G[Удалённое выполнение кода как SYSTEM] G --> H[Шифровальщик / латеральное перемещение]
● Примеры
- 01
Атакующие развёртывают ASPX web shell на доступных из интернета серверах Exchange сразу после публикации PoC ProxyShell.
- 02
Группы шифровальщиков используют ProxyShell как вектор первичного доступа перед шифрованием сетей жертв.
● Частые вопросы
Что такое ProxyShell?
Цепочка эксплойтов 2021 года в Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207), объединившая три дефекта в неаутентифицированное удалённое выполнение кода. Относится к категории Уязвимости в кибербезопасности.
Что означает ProxyShell?
Цепочка эксплойтов 2021 года в Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207), объединившая три дефекта в неаутентифицированное удалённое выполнение кода.
Как защититься от ProxyShell?
Защита от ProxyShell обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия ProxyShell?
Распространённые альтернативные названия: Exchange ProxyShell, Orange Tsai Exchange chain.