cve-2021-26857 - RunkIntel

# CVE-2021-26857 - ProxyLogon: LPE via Desserialização no Exchange Unified Messaging > [!high] CVE-2021-26857 faz parte da cadeia ProxyLogon — permite escalada de privilégios locais via desserialização insegura no serviço Unified Messaging do Exchange, usada pelo grupo APT Silk Typhoon (HAFNIUM) em comprometimentos massivos de 2021. ## Visão Geral CVE-2021-26857 é uma das quatro vulnerabilidades que compõem a cadeia **ProxyLogon**, usada pelo grupo de espionagem chinês **Silk Typhoon** (anteriormente chamado de HAFNIUM) para comprometer dezenas de milhares de servidores Exchange em todo o mundo em março de 2021. Específicamente, esta CVE envolve desserialização insegura no serviço **Unified Messaging** do Exchange. Após um atacante obter acesso inicial via CVE-2021-26855 (SSRF), esta vulnerabilidade permite elevar privilégios para `NT AUTHORITY\SYSTEM`, estabelecendo controle total sobre o servidor Exchange. O encadeamento das quatro CVEs (CVE-2021-26855 → CVE-2021-26857/26858 → CVE-2021-27065) criou um dos maiores incidentes de comprometimento massivo de infraestrutura corporativa e governamental, com estimativas de mais de 250.000 servidores Exchange expostos globalmente. No Brasil, organizações do setor público e privado com Exchange on-premises foram afetadas. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Desserialização insegura (LPE) | | Serviço | Unified Messaging | | Contexto pós-exploit | NT AUTHORITY\SYSTEM | | Parte da cadeia | ProxyLogon (vulnerabilidade 2 de 4) | | CVEs da cadeia | CVE-2021-26855, 26857, 26858, 27065 | ## TTPs Relacionadas - [[t1190-exploit-public-facing-application|T1190]] - Exploração do Exchange voltado para internet - [[t1505-003-web-shell|T1505.003]] - Implantação de web shell no Exchange - [[t1068-exploitation-for-privilege-escalation|T1068]] - Escalada para SYSTEM via desserialização - [[t1114-email-collection|T1114]] - Coleta de emails pós-comprometimento ## Contexto LATAM > [!latam] O comprometimento massivo de Exchange via ProxyLogon atingiu organizações no Brasil, Argentina, Chile e México em março de 2021, com web shells implantadas em servidores de ministérios e empresas de telecomúnicações reportados pelo CERT.br. ## Detecção e Defesa **Mitigações recomendadas:** - Aplicar patch emergêncial de março de 2021 (Exchange CU + Security Update) - Executar script MSERT (Microsoft Safety Scanner) para detectar web shells existentes - Verificar logs IIS por requisições ao `ECP` (Exchange Control Panel) - Inspecionar diretório `\inetpub\wwwroot\aspnet_client\` para web shells ## Referências - [Microsoft CVE-2021-26857](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857) - [MSRC Blog — HAFNIUM Exchange Exploitation](https://www.microsoft.com/en-us/security/blog/2021/03/02/hafnium-targeting-exchange-servers/) - [CISA — Exchange Server Vulnerabilities Mitigations](https://www.cisa.gov/news-events/alerts/2021/03/03/mitigations-and-workarounds-published-microsoft-exchange-server-vulnerabilities)