PoC baru untuk bug Microsoft Exchange
Seorang peneliti keamanan telah merilis eksploitasi POC baru akhir minggu ini yang memerlukan sedikit modifikasi untuk menginstal Framework web di server Microsoft Exchange yang rentan terhadap kerentanan ProxyLogon yang dieksploitasi.
Sejak Microsoft mengungkapkan secara aktif mengeksploitasi kerentanan keamanan Microsoft Exchange, yang secara kolektif dikenal sebagai ProxyLogon, administrator dan peneliti keamanan telah berusaha keras untuk melindungi server rentan yang terekspos di Internet.
web shell, cryptominers, dan yang terbaru, DearCry ransomware di server yang dieksploitasi.
Awal minggu ini, seorang peneliti keamanan bernama Nguyen Jang menerbitkan entri blog yang merinci eksploitasi proof of concept (POC) untuk kerentanan Microsoft Exchange ProxyLogon. Jang juga membagikan eksploitasi yang sengaja rusak di GitHub yang memerlukan beberapa perbaikan agar berfungsi dengan benar.
proof of concept (PoC) yang saya berikan tidak dapat berjalan dengan benar. Itu akan macet dengan banyak kesalahan. Hanya untuk menjebak pembaca," kata Jang.
Namun, PoC tersebut memberikan informasi yang cukup sehingga peneliti keamanan dan pelaku ancaman dapat menggunakannya untuk mengembangkan eksploitasi RCE jauh fungsional untuk server Microsoft Exchange.
setelah PoC diterbitkan, Jang menerima email dari GitHub milik Microsoft yang menyatakan bahwa PoC telah dihapus karena melanggar Kebijakan Penggunaan yang Dapat Diterima.
Dalam sebuah pernyataan mereka menurunkan PoC untuk melindungi perangkat yang sedang dieksploitasi.
Kami memahami bahwa publikasi dan distribusi proof of concept eksploitasi memiliki nilai pendidikan dan penelitian bagi komunitas keamanan, dan tujuan kami adalah menyeimbangkan manfaat tersebut dengan menjaga keamanan ekosistem yang lebih luas. Sesuai dengan Kebijakan Penggunaan yang Dapat Diterima, GitHub menonaktifkan setelah laporan yang berisi bukti proof of concept untuk kerentanan yang baru-baru ini diungkapkan yang sedang dieksploitasi. " - GitHub
Eksploitasi baru dalam jangkauan script kiddies
Akhir minggu ini, seorang peneliti keamanan yang berbeda menerbitkan ProxyLogon PoC baru yang memerlukan sedikit modifikasi untuk mengeksploitasi server Microsoft Exchange yang rentan dan meletakkan shell web.
Will Dorman, Analis Kerentanan di CERT/CC, menguji kerentanan pada server pertukaran Microsoft dan memberi tahu BleepingComputer bahwa itu bekerja dengan sedikit modifikasi.
"Sekarang sudah dalam jangkauan" script kiddie"," Dorman memperingatkan dalam diskusi kita tentang PoC.
Seperti yang Anda lihat dari gambar di bawah, Dorman menggunakan exploit terhadap server Microsoft Exchange dan menginstal web shell dari jauh, dan menjalankan perintah 'whoami'.
Memanfaatkan server Microsoft Exchange
Gambar lain yang dibagikan oleh Dorman menunjukkan bahwa exploit tersebut menjatuhkan shell web test11.aspx di lokasi yang ditentukan di server.
Shell web jatuh di server Microsoft Exchange yang dieksploitasi
Didier Stevens, seorang analis senior di penangan senior NVISO dan SANS ISC, juga menguji exploit tersebut terhadap mesin virtual Microsoft Exchange tetapi tidak begitu beruntung dengan PoC.
Dalam percakapan, Stevens mengatakan bahwa dia menguji PoC baru terhadap Exchange 2016 yang belum ditambal (path) tanpa pembaruan kumulatif. Namun, PoC tidak akan berfungsi tanpa mengubah beberapa pengaturan Active Directory.
Namun, Stevens mengatakan bahwa informasi baru di PoC yang dirilis aPada minggu ini memungkinkan dia untuk membuat PoC Jang bekerja untuk POC RCE terhadap server Microsoft Exchange-nya.
Stevens juga setuju dengan penilaian Dorman bahwa informasi yang diungkapkan dalam PoC baru akan mempermudah pelaku ancaman yang kurang terampil, yang dikenal sebagai 'Script Kiddies,' untuk membuat eksploitasi ProxyLogon yang berfungsi.
Karena banyaknya server rentan yang masih terekspos di Internet, Mereka tidak akan membagikan link untuk PoC yang dirilis akhir minggu ini.
80.000 server Exchange masih rentan
Dengan eksploitasi untuk kerentanan Microsoft Exchange yang tersedia untuk umum, semakin penting bagi administrator untuk menambal server mereka.
Menurut penelitian Palo Alto Networks, ada sekitar 80.000 server Microsoft Exchange yang rentan terekspos di Internet.
"Jumlah server rentan yang menjalankan versi lama Exchange yang tidak dapat secara langsung menerapkan patch keamanan yang baru-baru ini dirilis turun lebih dari 30% dari perkiraan 125.000 menjadi 80.000, menurut pemindaian internet Expanse yang dilakukan pada 8 dan 11 Maret," kata Palo Alto Networks
Microsoft juga memperingatkan bahwa meskipun telah terjadi penurunan server yang rentan secara signifikan, masih banyak yang perlu ditambal (path)
Berdasarkan telemetri dari RiskIQ, kami melihat total hampir 400.000 server Exchange pada 1 Maret. Pada 9 Maret, ada lebih dari 100.000 server yang masih rentan. Jumlah itu terus menurun, dengan hanya sekitar 82.000 yang tersisa untuk diperbarui , "Microsoft menyatakan dalam sebuah posting blog.
Banyak dari server ini untuk versi lama yang tidak memiliki pembaruan keamanan yang tersedia.
Pada hari Kamis, Microsoft merilis pembaruan keamanan tambahan untuk versi Microsoft Exchange yang lebih lama, yang sekarang mencakup 95% server yang terekspos di Internet.