Upozorňujeme na novou vlnu zneužívání zranitelnosti Proxyshell k sofistikovanému doručování phishingových zpráv s malware. Útočníci pomocí zranitelnosti získají přístup k e-mailovým schránkám na serveru, navážou na předchozí legitimní konverzaci a ze schránek poté rozesílají phishing obsahující odkazy na stažení malwaru. Jedná se o techniku obdobnou malwaru Emotet. Útokem dochází nejen k závažnému narušení důvěrnosti e-mailů, ale v případě stažení a spuštění souboru z přiloženého odkazu dochází k infekci daného počítače a dalšímu šíření v síti, které zpravidla vede k zašifrování dat.


E-maily jsou v současně době psané především v angličtině a používají k motivaci ke kliknutí na odkaz témata pozvánek, nezaplacených faktur nebo obecně "důležitých informací". Jelikož zprávy přichází z legitimního serveru a ze skutečné schránky uživatele, je velmi obtížné zachytit je antispamovým filtrem. Útočníci zároveň maskují svou činnost tím, že se tyto zprávy neukládají do složky Odeslané.

Po kliknutí na odkaz dochází ke stažení excelového souboru obsahující makro, které po spuštění stáhne a spustí malware s označením SquirrelWaffle. Ten slouží jako první fáze k získání kontroly na systémem, sběru dat a stažení dalších nástrojů, zejména Cobalt Strike, pomocí kterého mohou útočníci dále operovat v síti. V konečné fázi dochází ke stažení ransomwaru.


Na zranitelnosti Exchange Server s označením CVE-2021-31206, CVE-2021-31207, CVE-2021-34473 a CVE-2021-34523 (souhrnně označované jako Proxyshell), které v kombinaci umožňují vzdáleně získat plnou kontrolu nad serverem, NÚKIB upozorňoval 13. srpna. V České republice je k 5.11. stále 595 Exchange Serverů bez aktualizací opravující tyto zranitelnosti. Pro instituce, které tyto servery provozují, představuje tato kampaň závažné riziko.


Všem správcům provozující Exchange Server, důrazně doporučujeme bezodkladnou aktualizaci na Cumulative update z července nebo novější, který dané zranitelnosti opravuje. Aktualici důrazně doporučujeme, i pokud server není přímo přístupný z internetu, neboť v případě infekce např. spuštěním malwaru obdrženého zvenčí může dojít ke zneužití i zevnitř sítě. Uživatelům doporučujeme dbát zvýšené pozornosti, neotvírat neznámé odkazy a přílohy a v případě podezření např. telefonicky ověřit, zda zpráva skutečně pochází od dané osoby.


Více informací o aktualizacích pro příslušné verze Exchange naleznete na stránkách společnosti Microsoft:

- Exchange Server 2013 - KB5004778: https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2013-july-13-2021-kb5004778-f532100d-a9c1-4f2c-bc36-baec95881011

- Exchange Server 2016 - KB5003611: https://support.microsoft.com/en-us/topic/cumulative-update-21-for-exchange-server-2016-kb5003611-b7ba1656-abba-4a0b-9be9-dac45095d969

- Exchange Server 2019 - KB5003612: https://support.microsoft.com/en-us/topic/cumulative-update-10-for-exchange-server-2019-kb5003612-b1434cad-3fbc-4dc3-844d-82568e8d4344

Odkazy:

- https://www.itpro.co.uk/security/ransomware/361417/microsoft-exchange-servers-distribute-squirrelwaffle-malware?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Itpro%2FNews+%28IT+PRO+-+News%29
- https://thehackernews.com/2021/10/hackers-using-squirrelwaffle-loader-to.html
- https://twitter.com/GossiTheDog/status/1455288201216729094