Dalle analisi condotte dagli specialisti Microsoft, risultano essere esposte ad attacco le seguenti versioni installate on-premises di Exchange: Microsoft specifica come tutte le vulnerabilit siano state risolte nel blocco di aggiornamenti rilasciato il 2 Marzo per la versione on-premise. four announced exploits - CVE-2021-26857. Lo sfruttamento prescinde dallesposizione su internet, del servizio Web di Exchange, quindi sembrerebbero essere vulnerabili tutte le istanze on-premises abilitate alla ricezione di messaggi dallesterno; CVE-2021-26858 e CVE-2021-27065: dopo lautenticazione, queste due vulnerabilit permetterebbero la scrittura arbitraria di file su un server Exchange il cui servizio Web sia esposto online. Transport, which isresponsible for managing mail traffic. As a result, it is often easier to simply run the Get-EventLog command from the
After resetting, the file towhich the virtual directory backup will besaved will contain the web shell specified inthe previous step.
Inoltre, poich sono in corso ulteriori verifiche per confermare o meno leffettiva compromissione del sistema, lazienda consiglia in via precauzionale di effettuare il cambio della password dellaccount e-mail. Exchange ActiveSync (EAS) aservice that allows mobile device users toaccess and manage their email, calendar, contacts, tasks, etc.
Basic protocols used byMSExchange.
Most ofthe attacks were aimed atuploading the initial web shell tothe server todevelop the attack inthe future. This request isalso forwarded toMAPI onbehalf ofthe computer account user and causes anaccess error.
Letus look attwo ways toexploit this vulnerability: reading emails via EWS and downloading web shells via ECP (CVE-2021-26858 and CVE-2021-27065). Le aziende hanno dunque bisogno di supporto di tecnici e di intelligence in grado di determinare se sono state colpite e in che misura, e, soprattutto, neutralizzare lattacco e chiudere gli aggressori fuori dalle proprie reti. Microsoft Exchange isone ofthe most common mail servers used byhundreds ofthousands ofcompanies around the world. RPC aclient access service that uses the RPC protocol, which runs ontop ofHTTP.
Successful exploitation ofCVE-2021-27065 allows amalicious file tobeuploaded toanExchange server using the ECP interface, which can then beused asaweb shell. In particolare, sono utili per analizzare statisticamente gli accessi o le visite al sito stesso e per consentire al titolare di migliorarne la struttura, le logiche di navigazione e i contenuti.
Aprotocol used byclients, including mobile clients, toaccess Exchange components for mail, calendaring, address book, etc.
China Chopper: Changing virtual directory settings for OAB (Default Web Site). The main components ofthe MSExchange server and the links between them are shown inthe diagram below.
Inthe IIS ECP events, wecan see anevent tellingus that the settings for the application virtual directory have been reset. CVE-2021-26855 makes iteasy todownload any users email, just byknowing their email address. Una prima osservazione dellesperto riguarda lestensione della potenziale superficie di attacco: Sebbene il passaggio alla soluzione cloud di Office365 stia avvenendo in maniera graduale, molte realt continuano ad utilizzare Exchange on-premise senza che sia adeguatamente perimetrato (cio messo in sicurezza allinterno del perimetro di sicurezza aziendale), ad esempio senza un vincolo VPN. Auser needs tobeauthenticated before the information can beretrieved.
Nel dettaglio, la prima vulnerabilit, catalogata come CVE-2021-26855, sfrutta una tipologia di criticit SSRF (Server Side Request Forgery) che permette agli attaccanti di leggere e rubare il contenuto delle e-mail delle caselle postali senza autenticazione ed inoltre sfruttata per ottenere una esecuzione remota di codice sul server in catena con le vulnerabilit sotto riportate.
Letus take acloser look atthe ProxyLogon vulnerability chain.
Ifyou donot consent tothe use ofthese files, you should adjust your browser settings accordingly.
Unified Messaging, which allows voice messaging and other telephony features (the role isnot available onversion 2019servers). The log contains events that record the execution ofPowerShell script blocks, pipelines and modules, The log contains information about control actions applied tothe Exchange components. This vulnerability can also beused inconjunction with SSRF (CVE-2021-26858).
Per chiarire alcuni degli aspetti critici che le quattro vulnerabilit comportano abbiamo interpellato Antonio Blescia, IT Security Consultat di CYS4. The request includes aheader named msExchLogonMailBox with the SID ofthe user tobeauthenticated.
Articolo pubblicato il 5 marzo e aggiornato con i nuovi dettagli sulle vulnerabilit in Microsoft Exchange. To check the local server and copy the identified logs and files to the OutPath: .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs -CollectFiles. To check the local server only, just run the script: .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs. Email isoften used totransmit sensitive information such aspayment orders, configuration files, credentials orinstructions for connecting toVPN servers, etc. La catena di accatto utilizzata dal gruppo Hafnium, una volta ottenuta lesecuzione di codice sul server Exchange, si basa principalmente su queste macro-fasi: Con lo scopo di eludere gli attuali indicatori di compromissione, altri gruppi criminali stanno cambiando la catena di attacco, ove possibile, continuando il lavoro di compromissione e backdooring di server. Wewill show how touse standard operating system events and Exchange logs todetect ProxyLogon, both inreal time, using proactive threat hunting approaches, and attacks that have already happened inthe past. Hunting Down MS Exchange Attacks. Dalle analisi delle TTPs (tattiche, tecniche e procedure) del gruppo Hafnium si deducono capacit di attacco sofisticate e altamente qualificate. Vulnerability CVE-2021-26857is related toinsecure data deserialisation inthe Unified Messaging service. Nelle campagne precedenti non correlate a queste vulnerabilit, Microsoft ha osservato Hafnium interagire con i tenant di Office 365 delle vittime. Microsoft Exchange: il 92% dei server colpiti dalle vulnerabilit ProxyLogon stato patchato, Microsoft ha comunicato che il 92% dei server Exchange on-premise affetti dalle vulnerabilit ProxyLogon (gi sfruttate attivamente da un gruppo di cyber criminali cinesi per accedere alle mailbox di migliaia di aziende, anche italiane) stato patchato. Since the attacker can specify the service towhich anarbitrary HTTP request istoberedirected, this SSRF vulnerability can beexploited indifferent ways.
determine if they are valid. ProxyLogon (CVE-2021-26855, 26858, 27065, 26857), Subscribe tothenewsletter toget thenext CyberPolygon date, I agree toreceive newsletters and information updates.
ProxyLogon isthe name ofCVE-2021-26855 (SSRF) vulnerability that allows anexternal attacker tobypass the MSExchange authentication mechanism and impersonate any user.
Utilizziamo i cookie anche per fornirti unesperienza di navigazione sempre migliore, per facilitare le interazioni con le nostre funzionalit social e per consentirti di ricevere comunicazioni di marketing aderenti alle tue abitudini di navigazione e ai tuoi interessi.
The following rule can beimplemented todetect such activity: event_log_source:('PowershellAudit' OR 'MSExchangeCMDExec') AND event_id:('1' OR 800 OR '4104') AND (Message contains Set- AND Message contains VirtualDirectory AND Message contains -ExternalUrl AND Message contains script). utilizzo del gestore di archivi compressi 7-zip per esfiltrare informazioni sensibili. Anattacker using ProxyLogon can impersonate, for example, anadministrator and authenticate into the Exchange Control Panel (ECP) and then overwrite any file onthe system using the CVE-2021-26858or CVE-2021-27065vulnerabilities. Tocreate aweb shell, anattacker exploits avulnerability inthe built-in virtual directory mechanism.
Such requests are logged inthe IIS log. This attack vector isnoless dangerous than downloading aweb shell toaserver. Atransport protocol for dealing with mail and other components, which isused bythe Outlook client tocommunicate with the Exchange server. the script has minimal functionality in these scenarios, as Exchange 2010 is only affected by one of the The response from the server contains email IDs and other information about the emails (e.g. that are configured inthe audit policy. I'm having trouble running the script on Exchange 2010. Determining if a zip file is a valid part of an installed Management role, which isconcerned with administration and flexible configuration ofMSExchange components. Tuttavia, la semplice applicazione delle patch non rimuove dalla rete gli attacchi precedenti alla patch. The attacker sends arequest todelegate access tothe email account. This method iscalled upon inthe main library ofthe Unified Messaging service Microsoft.Exchange.UM.UMCore.dll, more specifically within the method FromHeaderFile, classed as PipelineContext with namespaces Microsoft.Exchange.UM.UMCore.
header ordate received).
detecting the exploitation ofProxyLogon.
CVE-2021-26855: vulnerabilit di tipo Server-Side Request Forgery (SSRF) che permetterebbe a un attaccante di mandare, richieste HTTP e autenticarsi sul server Exchange; CVE-2021-26857: vulnerabilit del sottosistema di de-serializzazione nel Unified Messaging service, che potrebbe permettere, sotto talune condizioni, agli attaccanti di eseguire codice arbitrario con diritti dellutente SYSTEM sul server Exchange.
While UScompanies took the brunt ofthe attack, wealso recorded anumber ofsimilar attacks targeting our customers inRussia and Asia.
Exchange Web Services (EWS) anAPI toprovide various applications with access tomailbox components.
One can Per utilizzare lo script, necessario scaricarlo dalla pagina GitHub dellanalista e memorizzarlo in /usr/share/nmap/scripts, e poi lanciare il comando nmap script http-vuln-exchange come spiegato nei suoi tweet in proposito. Bycontinuing touse this website, you agree toour use ofcookies and similar technologies. Per ottenere maggiori informazioni sui cookie utilizzati, comunque possibile visitare la nostra COOKIE POLICY. For example, the request issent to exchange.lab.local and from there itisredirected via SSRF to exchange02.lab.local.
Such requests are logged byEWS.
I cookie di profilazione e i social plugin, che possono essere di prima o di terza parte, servono a tracciare la navigazione dellutente, analizzare il suo comportamento ai fini marketing e creare profili in merito ai suoi gusti, abitudini, scelte, etc.
togain access toconfidential information incorporate emails, tolaunch amalicious mailing from the victim companys addresses toinfiltrate the infrastructure ofanother organisation, tocompromise user accounts with the use ofExchange components (successful bruteforce attack ordetection ofcredentials inemail correspondence) toinfiltrate the companys network via one ofthe corporate services, togain foothold into the company network (e.g. Weuse cookies (files that store information about your visits tothe website) topersonalise our services and toimprove your browsing experience.
Example ofthe event: The following rule detects attempts toreset virtual directories based onIIS log events: event_log_source:IIS AND http_method:POST AND http_code:'200' AND url_path:'/ecp/DDI/DDIService.svc/SetObject' AND (Message contains 'schema=Reset' AND Message contains 'VirtualDirectory'). The contents ofthe test.aspx configuration file can beseen inthe screenshot below, where the ExternalUrl parameter contains the specified China Chopper.
Secondo Mat Gangwer, senior director, Sophos Managed Threat Response, attacchi come quello sferrato da Hafnium devono essere gestiti con estrema attenzione: permettono infatti agli aggressori di eseguire da remoto i comandi sui server senza bisogno di credenziali, consentendo a qualsiasi malintenzionato di sfruttarli a proprio piacimento.
The second way toexploit the SSRF vulnerability isbyauthenticating into the ECP and then exploiting the CVE-2021-26858/CVE-2021-27065 vulnerabilities toupload the web shell tothe server. The attacker can then retrieve the SID ofthe targeted user bysending anHTTP request toMAPI. 
When exploiting this vulnerability with CVE-2021-26858, an SSRF attack is used to manipulate virtual directories.
Obtaining these cookies isthe end result ofthe attacker exploiting the ProxyLogon vulnerability (CVE-2021-26855) ifthey plan toexploit CVE-2021-26858 and CVE-2021-27065 toupload aweb shell tothe server. An administrator should review the files to
It also has a progress bar and some performance tweaks to make the CVE-2021-26855 test run much faster.
Arule todetect suspicious child processes being started byUMWorkerProcess.exe (cmd/powershell start, bySecurity and Sysmon log events): event_log_source:'Security' AND event_id:'4688' AND proc_parent_file_path end with:'\UMWorkerProcess.exe' AND proc_file_path end with:('\cmd.exe' OR '\powershell.exe').
Autodiscover aservice that allows customers toretrieve information about the location ofvarious Exchange server components such asthe URL for an EWS.
Unified Messaging allows voice messaging and other features, including Outlook Voice Access and Call Answering Rules. Inthe next article, wewill explore how todetect the exploitation ofother notorious MSExchange vulnerabilities.
importante sottolineare che, affinch lattacco funzioni, i criminali hanno bisogno di accedere ad una istanza locale di un server Microsoft Exchange sulla porta 443. Si stima che, al momento del rilascio delle patch, erano circa 400.000 i server potenzialmente compromessi dalle vulnerabilit ProxyLogon: tra questi, anche quelli dellAutorit Bancaria Europea (EBA) che, come misura precauzionale, ha deciso di mettere offline i suoi sistemi di posta elettronica.
Nel caso venga utilizzato Microsoft Defender ATP, si consiglia di eseguire le seguenti query kusto sul proprio portale Microsoft Defender ATP for Endpoint: DeviceFileEvents| where InitiatingProcessFileName == UMWorkerProcess.exe and FileName != CacheCleanup.bin and FileName !endswith .txt and FileName !endswith .LOG and FileName !endswith .cfg and FileName !=cleanup.bin, ProcessEvents| where InitiatingProcessFileName == UMWorkerProcess.exe and FileName !in(wermgr.exe, WerFault.exe), DeviceProcessEvents| where InitiatingProcessFileName == UMWorkerProcess.exe and FileName !in(wermgr.exe, WerFault.exe)| summarize count() by FileName. without aninternet connection. The updates included achain ofcritical vulnerabilities CVE-2021-26857, CVE-2021-26855, CVE-2021-26858, CVE-2021-27065, commonly referred toasProxyLogon. The problem iscontained inthe Base64Deserialize method ofthe CommonUtil class, and the class itself inthe Microsoft.Exchange.UM.UMCommon namespace ofthe Microsoft.Exchange.UM.UMCommon.dll library.
If PowerShell 3 is present, the script can be run on Exchange 2010.
There are nopublicly available PoCs orother sources detailing its exploitation.
I suoi target spaziano da specifici settori industriali a ricercatori di malattie infettive con sede negli Stati Uniti, gruppi di riflessione sulle politiche, istituti di istruzione superiore, studi legali, appaltatori della difesa e ONG. Using the Microsoft.Exchange.UM.UMCore.dll library. Inorder tomake requests tothe ECP, afull session must beestablished inthe ECP. Westart bylogging into the ECP interface and going to Servers Virtual directories.
However, Ithas several advantages due toits encapsulation inHTTP, Alternative transport protocol used bythe Outlook client and mobile devices, Transmission protocol for mail onTCP/IP networks, Application layer protocols for email access, Protocol for data exchange with Active Directory service, Anopen protocol used tostore and retrieve data from ahierarchical directory structure, The Security log stores all events (process starts-ups, successful/unsuccessful logins, etc.) Un profiling dettagliato del gruppo Hafnium stato reso disponibile da Microsoft nella pagina dedicata.
Given this fact, another rule can be implemented: event_log_source:IIS AND http_method:POST AND http_code:'200' AND url_path:'/ecp/DDI/DDIService.svc/SetObject' AND (Message contains 'schema=Reset' AND Message contains 'VirtualDirectory') AND Username contains '$'. In effetti, la versione di Exchange Online non interessata dalle criticit e non risulta vulnerabile. Offline Address Book (OAB) anoffline address book service onthe Exchange server that allows Outlook users tocache the contents ofthe Global Address List (GAL) and access iteven when not connected toExchange.
- Scubapro Jet Sport Fins Size Chart
- Cartier Love Collection Bracelet
- Black Platform Sandals Doc Martens
- Sunday Cologne Byredo
- Customized Bonnet With Picture
- Lithium Hexafluorophosphate Hydrolysis
- Sand Crewneck Sweatshirt
- Best Wall Mounted Air Purifier
