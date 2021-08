Microsoft zalicza ostatnio pech za pechem. Jeśli nie zepsuta aktualizacja Windows 10, to wyciek danych. A teraz kolejny duży problem.

Gang LockFile, specjalizujący się w ransomware, wykorzystuje niedawno odkryte luki w ProxyShell i... szyfruje domeny Windows na serwerach Microsoft Exchange. Te luki w ProxyShell są trzy:

CVE-2021-34473 — obejście ACL (Access Control Lists) spowodowane luką „Pre-auth Path Confusion”;

— obejście ACL (Access Control Lists) spowodowane luką „Pre-auth Path Confusion”; CVE-2021-34523 — podniesienie uprawnień w programie Exchange PowerShell Backend;

— podniesienie uprawnień w programie Exchange PowerShell Backend; CVE-2021-31207 – po uwierzytelnieniu arbitralny zapis prowadzi do zdalnego wykonania kodu.

LockFile w działaniu. Foto: Marken

Znane są już od jakiegoś czasu, ale w kwieniu oraz maju zostały załatane przez Microsoft. Niestety, zostały one zreprodukowane - napastnicy za pomocą powłok internetowych instalują backdoora, który pobiera szkodliwy ładunek, czyli właściwe ransomware. Efektem działania są zaszyfrowane pliki, a jedyny, do którego można uzyskać dostęp, to LOCKFILE-README.hta. Nazwę tę poprzedza login ofiary. Aby dowiedzieć się o wysokości okupu oraz metodach zapłacenia, należy skontaktować się mailowo pod adresem: [email protected] Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce, doradza:

W związku z tym, że LockFile wykorzystuje zarówno luki Microsoft Exchange ProxyShell, jak i Windows PetitPotam NTLM Relay, administratorzy Windows muszą zainstalować najnowsze aktualizacje. Nieco bardziej kłopotliwe są ataki Windows PetitPotam, ponieważ w tym przypadku aktualizacja zabezpieczeń Microsoftu jest niekompletna. Dlatego warto użyć nieoficjalnej poprawki lub zastosować filtry NETSH RPC, które blokują dostęp do podatnych funkcji w interfejsie API MS-EFSRPC

Aby sprawdzić, czy serwer Microsoft Exchange został przeskanowany pod kątem luki ProxyShell, można wykonać zapytanie AzureSentinel:

W3CIISLog

| where csUriStem == "/autodiscover/autodiscover.json"

| where csUriQuery has "PowerShell" | where csMethod == "POST"

Ransomware LockFile nie tylko szyfruje pliki, ale również zajmuje znaczną część zasobów systemowych komputera i powoduje jego częściowe zawieszenie.

Źródło: Marken

