Microsoft ha lanzado una nueva actualización para la herramienta Microsoft Safety Scanner (MSERT) para detectar los shells web utilizados en los recientes ataques de los Servidores Exchange.
El 2 de marzo, Microsoft reveló que cuatro vulnerabilidades de día cero de Exchange Server se estaban utilizando en ataques contra servidores Outlook en la web (OWA) expuestos.
Estas vulnerabilidades se rastrean como CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065.
Conocidas como “ProxyLogon”, las vulnerabilidades están siendo utilizadas por los atacantes patrocinados por el estado chino para robar buzones de correos, recolectar credenciales e implementar shells web para acceder a las redes internas.
Cuando Microsoft reveló estos ataques, ya había publicado firmas actualizadas para Microsoft Defender que se encargaban de detectar los shells web utilizados conjunto a esas vulnerabilidades de día cero.
La lista de los shells que Microsoft Defender detecta, es la siguiente:
- Exploit: Script / Exmann.A! Dha
- Comportamiento: Win32 / Exmann.A
- Puerta trasera: ASP / SecChecker.A
- Puerta trasera: JS / Webshell (no es exclusivo de estos ataques)
- Trojan: JS / Chopper! Dha (no es exclusivo de estos ataques)
- Comportamiento: Win32 / DumpLsass.A! Attk (no exclusivo de estos ataques)
- Puerta trasera: HTML / TwoFaceVar.B (no es exclusivo de estos ataques)
Para las organizaciones que no utilizan Microsoft Defender, Microsoft ha agregado las firmas actualizadas a su herramienta independiente Microsoft Safety Scanner para ayudar a las organizaciones a encontrar y eliminar los shells web utilizados en estos ataques.
¿Cómo usar Microsoft Safety Scanner para eliminar web shells?
Microsoft Safety Scanner, también conocido como Microsoft Support Emergency Response Tool (MSERT) es una herramienta antimalware portátil e independiente que incluye firmas de Microsoft Defender para buscar y eliminar el malware detectado.
MSERT es un escáner a demanda que no proporcionará ninguna protección a tiempo real. Por lo tanto, solo debes usarlo para análisis puntuales y no debes confiarte de él, como si de un programa antivirus se tratase.
Además, MSERT eliminará automáticamente los archivos detectados y no los pondrá en cuarentena si no inicias el programa bajo el argumento /N con la orden de arranque msert.exe /N.
Para buscar los shell web y no eliminarlos, también puedes utilizar el script de PowerShell que se describe al final del artículo.
El Software de Seguridad de MSERT de Microsoft, se puede descargar, bien como un software ejecutable de 32 bits o de 64 bits.
Después de iniciar el programa, acepte los acuerdos de licencia y se te mostrará una pantalla que te preguntará qué tipo de escaneo te gustaría realizar.
Microsoft recomienda seleccionar la opción de ‘Análisis Completo’ para que se escanee por completo, todo el servidor Exchange.
¿Cómo realizar un escaneo parcial con MSERT?
Como el escaneo completo puede llevar mucho tiempo dependiendo del tamaño de su instalación, Microsoft también ha indicado que puedes realizar un “escaneo personalizado” en cada una de las siguientes carpetas:
- **% Ruta de instalación de IIS% \ aspnet_client **
- **% Ruta de instalación de IIS% \ aspnet_client \ system_web **
- **% Ruta de instalación de Exchange Server% \ FrontEnd \ HttpProxy \ owa \ auth **
- Ruta configurada para los archivos de ASP.NET temporales
- **% Instalación de Exchange Server% \ FrontEnd \ HttpProxy \ ecp \ auth **
Una vez finalizada la exploración, MSERT te informará de qué archivos se han eliminado y el nombre por el que se les conoce. Para obtener información más detallada sobre qué archivos se eliminaron, puedes consultar el archivo % SYSTEMROOT% \ debug \ msert.log.
Cuando termines de usar MSERT, puedes desinstalar la herramienta simplemente eliminando el ejecutable msert.exe.
Nuevos scripts de PowerShell que encuentran shells web
Si deseas buscar shells web sin eliminarlos, puedes usar un nuevo script de PowerShell llamado detect_webshells.ps1 creado por CERT Letonia.
“La actividad inicial durante enero de 2021 se atribuyó a HAFNIUM, sin embargo, desde entonces, otros actores de amenazas se apoderaron de estos exploits y comenzaron a usarlos. Antes de la divulgación pública y los parches publicados por Microsoft (desde el 27 de febrero aproximadamente), los servidores Exchange comenzaron a exponerse públicamente, siendo explotados indiscriminadamente”.
Como tal, instalar las últimas actualizaciones de Exchange poco después de que Microsoft las publicara **no mitigó por completo el riesgo de compromiso previo, por lo que todos los servidores de Exchange deben ser inspeccionados para detectar signos de acceso no autorizado: Esto es lo que nos explican desde el CERT-LV, en la descripción de su proyecto.
Este script, mostrará los archivos que contienen cadenas específicas utilizadas por los shells web, pero que no son de Microsoft Exchange, por los ataques realizados mediante ProxyLogon.
La ventaja de este script, es que no eliminará el archivo y permitirá que los vigilantes de incidentes, puedaqn analizar más a fondo el problema en cuestión.
Puede encontrar más información, sobre cómo usar este script en el repositorio de GitHub del proyecto CERT-LV.
Microsoft también lanzó un script de PowerShell, llamado Test-ProxyLogon.ps1 que se puede usar para buscar indicadores de compromiso (IOC) relacionados con estos ataques, dentro de los archivos de registro de Exchange y OWA.