Злоумышленники сканируют сеть в поисках серверов Microsoft Exchange, уязвимых перед ProxyShell

Недавно на конференции Black Hat рассказали об уязвимостях удаленного выполнения кода в Microsoft Exchange, которые получили общее название ProxyShell. Теперь эксперты предупреждают, что хакеры уже сканируют интернет в поисках уязвимых устройств.

Название ProxyShell объединяет в себе три уязвимости, которые позволяют добиться удаленного выполнения кода без аутентификации на серверах Microsoft Exchange. Эти уязвимости эксплуатируют Microsoft Exchange Client Access Service (CAS), работающий на порту 443.

CVE-2021-34473: Path Confusion без аутентификации, ведущий к обходу ACL (исправлено в апреле в KB5001779);
CVE-2021-34523: повышение привилегий в Exchange PowerShell Backend (исправлено в апреле в KB5001779);
CVE-2021-31207: запись произвольных файлов после аутентификации, что ведет к удаленному выполнению кода (исправлено в мае в KB5003435).

Хотя CVE-2021-34473 и CVE-2021-34523 были впервые раскрыты в июле, на самом деле, их тихо исправили еще в апрельском накопительном обновлении Microsoft Exchange KB5001779. Дело в том, что эти проблемы обнаружили исследователи Devcore, чья команда получила приз в размере 200 000 долларов за их использование на апрельском хакерском соревновании Pwn2Own 2021. Теперь же специалисты Devcore выступили с докладом на Black Hat и рассказали об уязвимостях Microsoft Exchange более подробно, а после выступления и вовсе опубликовали детальную статью о ProxyShell.

Исследователи рассказали, что один из компонентов ProxyShell нацелен на службу Microsoft Exchange Autodiscover, которая используется почтовым клиентом как простой способ автоматической настройки с минимальным вмешательством со стороны пользователя.

После публикации статьи экспертов, хакеры принялись сканировать сеть в поисках уязвимых перед ProxyShell устройств. Известный ИБ-исследователь Кевин Бомонт пишет в Twitter, что администраторам стоит использовать Azure Sentinel для проверки журналов IIS на наличие строк «/autodiscover/autodiscover.json» или «/mapi/nspi/», так как это означает, что злоумышленники просканировали сервер на предмет уязвимости. Также Бомонт напоминает, что патчи уже доступны и рекомендует установить их как можно скорее.

Источник: https://xakep.ru/2021/08/09/proxyshell/

(Visited 20 times, 1 visits today)

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *