Análise Técnica
O ProxyShell é outra cadeia de três vulnerabilidades (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) que permite RCE não autenticado. A diferença chave está no abuso do serviço Autodiscover. A falha CVE-2021-34473 envolve uma “confusão de caminho” (Path Confusion) na URL. O atacante acessa /autodiscover/autodiscover.json?@foo.com/mapi/nspi/. O frontend do Exchange processa a primeira parte da URL e decide que não precisa de autenticação, mas encaminha a requisição para o backend baseando-se na segunda parte (/mapi/…). Isso expõe o backend do PowerShell Remoting. O atacante então usa a CVE-2021-34523 para elevar privilégios e a CVE-2021-31207 para exportar caixas de correio contendo código malicioso (webshells) para o diretório web.
Mapeamento e Exploração com Metasploit
-
- Módulo: exploit/windows/http/exchange_proxyshell_rce
-
- Capacidade: Exploração confiável e estável, resultando em acesso SYSTEM.
Cenário de Exploração Detalhado:
-
- Ataque:
O módulo do Metasploit automatiza a construção da URL ofuscada para atingir o PowerShell backend.
Bash
msf6 > use exploit/windows/http/exchange_proxyshell_rce
msf6 exploit(exchange_proxyshell_rce) > set RHOSTS 192.168.1.15
msf6 exploit(exchange_proxyshell_rce) > run
- Ataque:
-
- Mecanismo:
O exploit codifica um script malicioso (payload) dentro de um email ou rascunho. Em seguida, usa o comando New-MailboxExportRequest (via PowerShell Remoting acessado ilegalmente) para exportar esse email para um arquivo com extensão .aspx dentro de C:\inetpub\wwwroot\aspnet_client\.
- Mecanismo:
-
- Resultado:
O servidor IIS compila e executa o arquivo ASPX, disparando a conexão reversa do Meterpreter.
- Resultado:
Remediação e Defesa em Profundidade
-
- Atualização de Software: Aplicar as atualizações de segurança de Abril/Maio de 2021.
-
- Verificação de Web Shells: Procurar proativamente por arquivos .aspx suspeitos em diretórios de exportação ou diretórios web padrão (\aspnet_client\) criados recentemente.
Restrição de PowerShell:
Bloquear o acesso ao endpoint /powershell no IIS para IPs externos.
Apaixonado por tecnologia e segurança cibernética, com mais de 17 anos de experiencia na área atuando tecnicamente como Analista de Suporte de TI, Desenvolvedor, Infraetrutura e Segurança da Informação. Com sólida trajetória na área de Tecnologia da Informação e foco em Cibersegurança, dedico-me a identificar e mitigar vulnerabilidades críticas que ameaçam a continuidade de negócios, assim como atuo na governança baseada nos principais frameworks (ISO/IEC27001, ISO/IEC42000, NIST 800-115, PCIDSS etc.).
No responses yet