Av. Santo Antônio, 1453 - Sala 1102/1103 - Osasco/SP (11) 4380-9796 contato@konfido.com.br

  • Home
  • SophosLabs Offensive Security lança ferramenta de pós-exploração para Exchange
virus em arquivo do computador

SophosLabs Offensive Security lança ferramenta de pós-exploração para Exchange

10 de março de 2021 admin Comments Off

O trabalho contínuo da equipe de segurança ofensiva da SophosLabs na criação de ferramentas de prova de conceito do Red Team deu frutos no que é provavelmente o primeiro de muitos lançamentos para o framework Metasploit. A ferramenta, chamada metasploit_gather_exchange não é uma exploração contra uma das inúmeras vulnerabilidades do Exchange que a Microsoft corrigiu neste mês e em dezembro , mas uma ferramenta de coleta de dados pós-exploração que simplifica a recuperação de dados de caixa de correio de servidores Exchange comprometidos que estão passando por testes de penetração.

A ferramenta, lançada hoje no SophosLabs Github, simplifica a tarefa de obter o conteúdo completo da caixa de entrada (na forma de um arquivo .pst no formato Exchange) de um servidor comprometido anteriormente ou conteúdo parcial com base nas regras de filtragem publicadas pela Microsoft como parte da documentação técnica do servidor Exchange. Ele depende e utiliza comandos de um conjunto de scripts do PowerShell que são incluídos por padrão nas instalações do Exchange Server, chamado Exchange Management Shell .

tela de computador preta com códigos

Existem algumas advertências que são importantes a serem observadas: a ferramenta não pode, por si só, extrair e exfiltrar mensagens do servidor; requer que o usuário tenha obtido pelo menos o nível de privilégio de um usuário atribuído à função de Gerenciamento da Organização na rede. Como acontece com muitas ferramentas de exploração e pós-exploração baseadas no Meterpreter, ele também requer que o testador de penetração desabilite todos os recursos de segurança de endpoint na máquina que executa o Exchange, incluindo o Windows Defender, antes de começar a executar os comandos.

Essa ferramenta não oferece nenhuma vantagem para os agentes de ameaças reais, pois eles têm seu próprio conjunto de recursos usados ​​nos ataques recentes e, em qualquer caso, as cargas úteis do Meterpreter são facilmente detectadas por ferramentas de proteção de endpoint. Nosso principal objetivo é compartilhá-lo com a comunidade de segurança para simplificar a tarefa tediosa de provar ou demonstrar recursos de exfiltração de dados durante o teste Metasploit.

O módulo dá à comunidade de pen testing e segurança a oportunidade de simular um ataque como o de Hafnium para desenvolver defesas.
 

Como funciona?

Apenas alguns arquivos compreendem a ferramenta metasploit_gather_exchange: um script Ruby e um script PowerShell. Os arquivos funcionam em conjunto para orquestrar os conjuntos de comandos do Shell de Gerenciamento do Exchange necessários para enumerar as caixas de entrada hospedadas no servidor e, em seguida, exportar essas caixas de entrada. Opcionalmente, os usuários da ferramenta podem usar as regras de filtragem do ContentFilter para aprimorar assuntos de interesse específico, para que não tenham que extrair (em seguida, tentar descobrir como exfiltrar) toda a caixa de entrada.

O comando LIST da ferramenta produz informações detalhadas sobre as caixas de entrada hospedadas no servidor Exchange e sobre o próprio servidor.

A saída desse comando inclui não apenas o nome da caixa de entrada, mas também detalhes sobre a versão específica do Exchange em execução e o nome interno do servidor.

Uma vez que o Red Team descobre a conta de e-mail de uma pessoa ou pessoas nas quais está interessada, o comando EXPORT puxa os dados do servidor Exchange na forma de um arquivo .pst.

A saída disso é tratada pelo mecanismo de manipulação de “loot” do Meterpreter e armazena os dados no local padrão configurado na sessão do Meterpreter.

Como esta é uma ferramenta de recuperação de dados pós-exploração, os operadores de servidores Exchange podem evitar que os agentes de ameaças se envolvam neste tipo de exfiltração de dados instalando diligentemente patches e atualizações de segurança para seus servidores Windows, incluindo atualizações para o Exchange, assim que forem feitas acessível.

O Exchange foi submetido a muitos exames no ano passado e foi corrigido contra um número significativo de erros de execução remota de código e escalonamento de privilégios que podem resultar em técnicas demonstradas por uma ferramenta como esta se tornando utilizáveis. A ferramenta foi testada em instalações locais do Exchange 2010, 2013, 2016 e 2019 e também pode ser usada em instalações em nuvem (sujeito às advertências mencionadas anteriormente).

Os usuários do framework Metasploit podem baixar a ferramenta diretamente do SophosLabs Github . A SophosLabs também solicitou formalmente a inclusão da ferramenta na distribuição principal do Metasploit em uma atualização futura.

Por