La herramienta MSERT de Microsoft ahora encuentra shells web de los ataques de Exchange Server

Microsoft ha lanzado una nueva actualización para su herramienta Microsoft Safety Scanner (MSERT) para detectar shells web implementados en ataques recientes a Exchange Server.

El 2 de marzo, Microsoft reveló que cuatro vulnerabilidades de día cero de Exchange Server se utilizaron en ataques contra servidores Outlook en la web (OWA) expuestos. Estas vulnerabilidades se detectan como CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065.

Conocidas como "ProxyLogon", estas vulnerabilidades son utilizadas por amenazas patrocinadas por el estado chino para robar buzones de correo, recopilar credenciales y distribuir shells web para acceder a la red interna.

Cuando Microsoft reveló estos ataques, lanzó firmas actualizadas para Microsoft Defender que detectarán shells web instalados utilizando vulnerabilidades de día cero.

Microsoft Defender detecta estos shells web con los siguientes nombres:

• Exploit: Script / Exmann.A! Dha
• Comportamiento: Win32 / Exmann.A
• Puerta trasera: ASP / SecChecker.A
• Puerta trasera: JS / Webshell (no es exclusivo de estos ataques)
• Troyano: JS / Chopper! Dha (no es exclusivo de estos ataques)
• Comportamiento: Win32 / DumpLsass.A! Attk (no es exclusivo de estos ataques)
• Puerta trasera: HTML / TwoFaceVar.B (no es exclusivo de estos ataques)

Para las organizaciones que no usan Microsoft Defender, Microsoft ha agregado firmas actualizadas a su archivo Escáner de seguridad de Microsoft herramienta independiente para ayudar a las organizaciones a encontrar y eliminar web shells utilizados en estos ataques.

Uso de Microsoft Safety Scanner para eliminar web shells

Microsoft Safety Scanner, también conocido como Microsoft Support Emergency Response Tool (MSERT), es una herramienta antimalware portátil independiente que incluye firmas de Microsoft Defender para buscar y eliminar el malware detectado.

MSERT es un escáner bajo demanda y no proporciona ninguna protección en tiempo real. Por lo tanto, solo debe usarse para análisis puntuales y no debe considerarse un programa antivirus completo.

Además, MSERT eliminará automáticamente todos los archivos detectados y no los pondrá en cuarentena. Si necesita guardar los archivos detectados, no use MSERT y, en su lugar, use el script de PowerShell que se describe al final del artículo.

los Escáner de seguridad de Microsoft se puede descargar como 32 bits o 64 bits ejecutable y se utiliza para realizar escaneos puntuales de una máquina según sea necesario.

Después de iniciar el programa, acepte los acuerdos de licencia y se le mostrará una pantalla que le preguntará qué tipo de análisis desea ejecutar.

Microsoft recomienda seleccione la opción "Análisis completo" para analizar todo el servidor.

Dado que el análisis completo puede llevar mucho tiempo según el tamaño de la instalación, Microsoft también afirma que puede ejecutar un "análisis personalizado" en cada una de las siguientes carpetas:

• % IIS% aspnet_client * ruta de instalación
• % IIS% aspnet_client system_web * ruta de instalación
• % Ruta de instalación de Exchange Server% FrontEnd HttpProxy owa auth *
• Ruta a los archivos ASP.NET temporales configurados
• % Configuración del servidor Exchange% FrontEnd HttpProxy ecp auth *

Cuando se complete el análisis, MSERT informará qué archivos se eliminaron y el nombre de su definición.

Para obtener información más detallada sobre qué archivos se eliminaron, puede consultar el % SYSTEMROOT% debug msert.log archivo, como se muestra a continuación.

Después de usar MSERT, puede desinstalar la herramienta simplemente eliminando el ejecutable msert.exe.

Los nuevos scripts de PowerShell encuentran shells web

Si desea escanear shells web sin eliminarlos, puede usar un nuevo script de PowerShell llamado detect_webshells.ps1 creado por CERT Letonia.

"La actividad inicial en enero de 2021 se atribuyó a HAFNIUM, sin embargo, otros actores de amenazas se han hecho cargo de estos exploits y comenzaron a usarlos. Antes de la divulgación pública y los parches publicados por Microsoft (aproximadamente desde el 27 de febrero), los servidores Exchange expuestos públicamente comenzaron a ser explotados indiscriminadamente ".

"Por lo tanto, instalar las últimas actualizaciones de Exchange inmediatamente después de que las publique Microsoft no mitigó completamente el riesgo de un deterioro previopor lo tanto, todos los servidores de Exchange deben ser inspeccionados para detectar cualquier signo de acceso no autorizado ", explica CERT-LV en la descripción del proyecto.

Este script mostrará archivos que contienen cadenas específicas utilizadas por shells web, pero no Microsoft Exchange, en los ataques ProxyLogon. La ventaja de este script es que no borrará el archivo y permitirá a los rescatistas analizarlo más a fondo.

Puede encontrar más información sobre cómo utilizar este script en el proyecto CERT-LV Repositorio de GitHub.

Microsoft también ha lanzado un script de PowerShell llamado Prueba-ProxyLogon.ps1 que se puede utilizar para buscar indicadores de compromiso (IOC) relacionados con estos ataques en los archivos de registro de Exchange y OWA.