CISA alerta para ataques que exploram vulnerabilidades ProxyShell

A CISA – agência norte-americana para a cibersegurança e segurança da infraestrutura – e vários investigadores de cibersegurança estão a alertar para uma campanha de ataques que exploram as falhas ProxyShell, nomeadamente CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207.

Vários investigadores de cibersegurança começaram a notar um aumento crescente a servidores Microsoft Exchange com uma cadeia de ataque ProxyShell. Desde o anúncio – a 20 de agosto – o número de ataques cresceu de cerca de cem servidores infetados para mais de 370. No entanto, esta não é uma repetição da vulnerabilidade ProxyLogon registada em março.

O CVE-2021-34473 diz respeito a uma vulnerabilidade na execução de código remoto no Microsoft Exchange Server com uma severidade de 9.1 que não requer privilégios ou interação do utilizador para executar código. Já o CVE-2021-34523 é uma vulnerabilidade de elevação de privilégios nos Microsoft Exchange Server com uma severidade de 9.0 e que os cibercriminosos utilizam para executar código pós autenticação, uma vez que a falha no PowerShell não valida corretamente o token de acesso. Por último, o CVE-2021-31207 – que tem uma severidade de 6.6 – é uma falha pós autenticação que permite ao atacante correr código no contexto do NT AUTHORITY\SYSTEM e ter acesso administrativo. Os cibercriminosos estão a utilizar as três falhas em conjunto para executar código remoto sem autenticação e apenas precisam de acesso ao serviço web do Microsoft Exchange.