A distanza di quasi due anni, le vulnerabilità ProxyShell di Microsoft Exchange sono ancora sfruttate per distribuire malware. I ricercatori di Morphisec hanno scoperto che ignoti cybercriminali sono riusciti ad utilizzare le risorse hardware dei server di alcune aziende per eseguire un crypto miner. Ovviamente la soluzione più logica è quella di aggiornare il software.
ProxyShellMiner: crypto miner aziendale
In dettaglio, ProxyShellMiner sfrutta le vulnerabilità CVE-2021-34473 e CVE-2021-34523 presenti nei server Microsoft Exchange per ottenere l’accesso iniziale e installare il crypto miner. Dopo aver ottenuto il controllo dei server (le vulnerabilità consentono di eseguire codice arbitrario con privilegi elevati), i cybercriminali hanno successivamente scaricato il malware nella directory NETLOGON del controller di dominio, in modo da distribuire il malware su tutti i dispositivi della rete.
ProxyShellMiner viene attivato con un parametro che serve anche come chiave per la configurazione del miner XMRig. Per stabilire la persistenza viene creata un’attività pianificata per l’avvio automatico. Il malware scarica quindi altri file dal server remoto che permettono di scegliere il browser da sfruttare per iniettare il miner nel suo spazio di memoria mediante la tecnica nota come “process hollowing“.
L’ultimo stadio dell’infezione prevede la creazione di una regola del firewall che blocca tutto il traffico in uscita. L’accesso al server consente di distribuire altri tipi di malware, dalla backdoor al ransomware. È quindi molto importante l’installazione delle patch di sicurezza. Per qualche motivo non tutti aggiornano il software nel minor tempo possibile.
Ti potrebbe interessare
20 feb 2023