# CVE-2021-26858 - ProxyLogon: Arbitrary File Write no Exchange Server > [!high] CVE-2021-26858 é componente da cadeia ProxyLogon — permite escrita arbitrária de arquivos no Exchange após autenticação obtida via SSRF (CVE-2021-26855), possibilitando a implantação de web shells pelo grupo Silk Typhoon. ## Visão Geral CVE-2021-26858 é a terceira vulnerabilidade da cadeia **ProxyLogon**, explorada pelo grupo de espionagem chinês **Silk Typhoon** (HAFNIUM). Após obter autenticação via bypass SSRF (CVE-2021-26855), esta falha permite que o atacante escreva arquivos arbitrários em qualquer caminho acessível pelo serviço Exchange. Na prática, os atacantes usavam esta vulnerabilidade para escrever **web shells** (tipicamente arquivos `.aspx`) em diretórios acessíveis via web do servidor Exchange, como `\inetpub\wwwroot\aspnet_client\`. Isso estabelecia um backdoor persistente que sobrevivia a reboots e permitia execução remota de comandos, coleta de emails e movimento lateral. A cadeia completa — SSRF para bypass de autenticação, seguido de file write para web shell — foi automatizada por múltiplos grupos APT e criminosos após a divulgação pública, tornando-se um dos eventos de comprometimento em massa mais significativos desde o WannaCry. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Arbitrary file write pós-autenticação | | Pré-requisito | Autenticação via CVE-2021-26855 (SSRF) | | Resultado | Implantação de web shell | | Diretório alvo típico | `\aspnet_client\` | | Parte da cadeia | ProxyLogon (vulnerabilidade 3 de 4) | ## TTPs Relacionadas - [[t1190-exploit-public-facing-application|T1190]] - Exploração do Exchange via SSRF - [[t1505-003-web-shell|T1505.003]] - Web shell implantada via file write - [[t1114-email-collection|T1114]] - Coleta de emails do servidor comprometido - [[m1042-disable-or-remove-feature-or-program|M1042]] - Desabilitar acesso externo ao Exchange ## Contexto LATAM > [!latam] Servidores Exchange on-premises comprometidos via ProxyLogon foram identificados em empresas brasileiras de telecomúnicações e órgãos governamentais em março e abril de 2021, com web shells ativas encontradas meses após o incidente inicial conforme relatórios do CERT.br. ## Detecção e Defesa **Mitigações recomendadas:** - Aplicar patch emergêncial de março de 2021 - Usar o script `Test-ProxyLogon.ps1` da Microsoft para verificar compromisso - Checar arquivos `.aspx` novos nos diretórios web do Exchange - Monitorar Event IDs 1001 e 1002 no log de Application do Exchange ## Referências - [Microsoft CVE-2021-26858](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858) - [Volexity — ProxyLogon Exploitation Analysis](https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/) - [CISA Exchange Emergency Directive](https://www.cisa.gov/emergency-directive-21-02)