# CVE-2021-27065 - ProxyLogon: File Write via Exchange Control Panel > [!high] CVE-2021-27065 é a quarta vulnerabilidade da cadeia ProxyLogon — permite escrita de arquivos arbitrários via Exchange Control Panel (ECP), completando a cadeia de comprometimento total usado pelo Silk Typhoon para comprometer centenas de milhares de servidores. ## Visão Geral CVE-2021-27065 é o estágio final da cadeia **ProxyLogon**, explorando o **Exchange Control Panel (ECP)** para executar escrita de arquivo arbitrário. Similar à CVE-2021-26858, mas usando o endpoint ECP como vetor, esta vulnerabilidade permitia aos atacantes implantar web shells em locais estratégicos do servidor Exchange. A diferença técnica entre CVE-2021-26858 e CVE-2021-27065 está no mecanismo: esta última abusa da propriedade `VirtualDirectory` na configuração do Exchange para escrever conteúdo arbitrário. Ambas são igualmente críticas na cadeia de ataque do ProxyLogon e foram exploradas pela mesma campanha do **Silk Typhoon**. Com a cadeia completa (CVE-2021-26855 + 26857/26858/27065), um atacante não autenticado conseguia acesso total ao servidor Exchange — leitura de todos os emails, execução de comandos arbitrários e estabelecimento de presença persistente — em uma sequência de exploração de apenas alguns minutos. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Arbitrary file write via ECP | | Endpoint | Exchange Control Panel (`/ecp/`) | | Pré-requisito | Autenticação via CVE-2021-26855 | | Resultado | Web shell persistente no Exchange | | Parte da cadeia | ProxyLogon (vulnerabilidade 4 de 4) | ## TTPs Relacionadas - [[t1190-exploit-public-facing-application|T1190]] - Exploração do Exchange - [[t1505-003-web-shell|T1505.003]] - Implantação de web shell via ECP - [[t1114-email-collection|T1114]] - Exfiltração de emails corporativos - [[t1560-001-archive-via-utility|T1560.001]] - Empacotamento de dados exfiltrados ## Contexto LATAM > [!latam] A cadeia ProxyLogon foi amplamente explorada na América Latina em março-abril de 2021, com servidores Exchange em ministérios públicos do Brasil, Argentina e Colômbia identificados com web shells ativas. O CTIR Gov emitiu alertas específicos para órgãos federais brasileiros. ## Detecção e Defesa **Mitigações recomendadas:** - Aplicar atualizações de segurança Exchange de março de 2021 - Executar Microsoft Safety Scanner (MSERT) para detectar web shells existentes - Verificar integridade dos diretórios web do Exchange - Monitorar requisições HTTP anômalas ao `/ecp/` endpoint ## Referências - [Microsoft CVE-2021-27065](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065) - [MSRC Blog — Multiple Security Updates for Exchange Server](https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2188907) - [Mandiant — ProxyLogon Exploitation Timeline](https://www.mandiant.com/resources/blog/hafnium-targeting-exchange-servers)