Análise Técnica
ProxyLogon refere-se a uma cadeia de vulnerabilidades (liderada pela CVE-2021-26855) que devastou servidores Microsoft Exchange em 2021. A falha primária é um Server-Side Request Forgery (SSRF) no componente Frontend do Exchange (porta 443). O Exchange utiliza uma arquitetura onde o Frontend (IIS) atua como proxy para o Backend (também IIS, porta 444).
A vulnerabilidade permite que um atacante não autenticado envie uma requisição HTTP especialmente elaborada para o Frontend, que a encaminha para o Backend como se fosse originada pelo próprio servidor Exchange (autenticada via cabeçalho X-CommonAccessToken ou cookies especiais). Isso contorna completamente a autenticação. Uma vez logado como o administrador do Exchange, o atacante encadeia isso com outra falha (CVE-2021-27065) para reescrever arquivos de configuração (OAB) e injetar uma webshell ASPX no sistema de arquivos, resultando em execução de código como SYSTEM.24
Mapeamento e Exploração com Metasploit
O Metasploit oferece uma cadeia de exploração totalmente automatizada para esta vulnerabilidade crítica.
- Módulo de Exploração: exploit/windows/http/exchange_proxylogon_rce
- Módulo de Scanner: auxiliary/scanner/http/exchange_proxylogon
- Capacidade: Bypass de autenticação, upload de arquivo arbitrário e execução de payload.
Cenário de Exploração Detalhado:
- Reconhecimento:
O atacante identifica um servidor Exchange exposto na porta 443.
Bash
msf6 > use auxiliary/scanner/http/exchange_proxylogon
msf6 auxiliary(exchange_proxylogon) > set RHOSTS mail.empresa.com
msf6 auxiliary(exchange_proxylogon) > run
Se vulnerável, o scanner confirma o bypass de SSRF. - Exploração:
O atacante carrega o módulo de RCE. O exploit primeiro usa o SSRF para obter o SID do administrador e um cookie de sessão válido. Em seguida, ele manipula a funcionalidade de Virtual Directory ou Offline Address Book (OAB) do Exchange para gravar um arquivo contendo uma webshell ASPX simples (que executa comandos passados via parâmetro).
Bash
msf6 > use exploit/windows/http/exchange_proxyshell_rce
msf6 exploit(exchange_proxyshell_rce) > set RHOSTS mail.empresa.com
msf6 exploit(exchange_proxyshell_rce) > set EMAIL administrador@empresa.com
msf6 exploit(exchange_proxyshell_rce) > run - Execução de Código:
O módulo acessa a webshell recém-criada para fazer upload e executar o payload Meterpreter. Como o Exchange roda com privilégios altíssimos (frequentemente Exchange Windows Permissions tem permissão de WriteDACL no domínio), o atacante pode escalar rapidamente para Administrador de Domínio.26
Remediação e Defesa em Profundidade
- Aplicação de Patches: Instalar imediatamente as Atualizações Cumulativas (CU) e Atualizações de Segurança (SU) lançadas pela Microsoft em Março de 2021 ou posteriores. Verificar se o número de build do Exchange está atualizado.28
- Exchange On-premises Mitigation Tool (EOMT): Executar esta ferramenta oficial da Microsoft que aplica mitigações automáticas via regra de reescrita de URL no IIS e varre o servidor em busca de webshells conhecidas.29
Segmentação: Restringir o acesso à porta 443 do Exchange apenas para endereços IP confiáveis ou exigir acesso via VPN, reduzindo a superfície de ataque externa.
Apaixonado por tecnologia e segurança cibernética, com mais de 17 anos de experiencia na área atuando tecnicamente como Analista de Suporte de TI, Desenvolvedor, Infraetrutura e Segurança da Informação. Com sólida trajetória na área de Tecnologia da Informação e foco em Cibersegurança, dedico-me a identificar e mitigar vulnerabilidades críticas que ameaçam a continuidade de negócios, assim como atuo na governança baseada nos principais frameworks (ISO/IEC27001, ISO/IEC42000, NIST 800-115, PCIDSS etc.).
No responses yet