# CVE-2021-31207 > [!high] ProxyShell - Escrita Arbitrária de Arquivo no Microsoft Exchange > CVE-2021-31207 é o terceiro componente da cadeia ProxyShell: um bypass de segurança que permite escrita arbitrária de arquivos no servidor Exchange. Combinado com as CVEs de SSRF e elevação de privilégio, completa o RCE total sem autenticação. ## Visão Geral CVE-2021-31207 é o componente final da cadeia **ProxyShell** no Microsoft Exchange. A vulnerabilidade permite que um atacante, após obter acesso ao backend via [[cve-2021-34473|CVE-2021-34473]] e elevar privilégios via [[cve-2021-34523|CVE-2021-34523]], escreva arquivos arbitrários em caminhos controlados do servidor - incluindo web shells no diretório virtual do IIS. A falha decorre de uma bypass de válidação de segurança no mecanismo de exportação de caixas de e-mail (New-MailboxExportRequest). Com o token de acesso elevado obtido nos passos anteriores, o atacante pode criar uma requisição de exportação que grava um arquivo ASPX malicioso diretamente num diretório acessível pelo servidor web. Esse componente é o que transforma o acesso privilegiado em execução remota persistente - o web shell instalado permite acesso contínuo ao servidor mesmo após a aplicação de patches. Grupos como **BianLian** foram documentados usando web shells instalados via ProxyShell como ponto de persistência por meses após o comprometimento inicial. > [!latam] Relevância para Brasil e LATAM > Web shells instalados via ProxyShell foram identificados em servidores Exchange de organizações brasileiras meses após o disclosure original. A persistência silenciosa permite que atores ameaça acessem e-mails corporativos e documentos internos de forma continuada, representando risco de espionagem corporativa e vantagem competitiva indevida. ## Detalhes Técnicos | Campo | Detalhe | |-------|---------| | Tipo | Security Feature Bypass / Arbitrary File Write | | Mecanismo | New-MailboxExportRequest PowerShell cmdlet | | Resultado | Web shell ASPX instalado no IIS | | Encadeamento | CVE-2021-34473 + CVE-2021-34523 + CVE-2021-31207 = ProxyShell RCE | | CVSS | 7.2 (High) | | CISA KEV | Sim (2021-11-03) | ## TTPs Relacionadas - [[t1505-003-web-shell|T1505.003 - Server Software Component: Web Shell]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1074-data-staged|T1074 - Data Staged]] ## Mitigação - Aplicar patch da Microsoft de maio 2021 (Patch Tuesday) para Exchange - Auditar diretórios virtuais do Exchange em busca de arquivos ASPX não autorizados - Monitorar uso do cmdlet `New-MailboxExportRequest` em logs do Exchange - Implementar [[m1022-restrict-file-and-directory-permissions|M1022 - Restrict File and Directory Permissions]] nos diretórios IIS do Exchange - Usar [[m1049-antivirus-antimalware|M1049 - Antivirus/Antimalware]] com detecção comportamental para web shells ## Referências - [CISA Advisory AA21-321A - ProxyShell](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-321a) - [CISA KEV - CVE-2021-31207](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Microsoft Security Update Guide](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31207) - [NVD - CVE-2021-31207](https://nvd.nist.gov/vuln/detail/CVE-2021-31207)