CISA призывает администраторов срочно исправлять ошибки Exchange ProxyShell

35
Freshworks, конкурент Salesforce, проводит IPO в США

Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) выпустило первое предупреждение, помеченное как «срочное», предупреждающее администраторов о необходимости исправления локальных серверов Microsoft Exchange от активно используемых уязвимостей ProxyShell.

«Злоумышленники в киберпространстве активно используют следующие уязвимости ProxyShell: CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207», – предупредила CISA в минувшие выходные.

«CISA настоятельно призывает организации выявлять уязвимые системы в своих сетях и немедленно применять обновление безопасности Microsoft от мая 2021 года , устраняющее все три уязвимости ProxyShell, для защиты от этих атак».

Эти три уязвимости безопасности (исправленные в апреле и мае) были обнаружены исследователем безопасности Devcore Оранж Цай , который использовал их для взлома сервера Microsoft Exchange в апрельском хакерском конкурсе Pwn2Own 2021 :

  • CVE-2021-34473 – путаница в пути перед аутентификацией приводит к обходу ACL (исправлено в апреле KB5001779)
  • CVE-2021-34523 – Повышение привилегий в серверной части Exchange PowerShell (исправлено в апреле, KB5001779)
  • CVE-2021-31207 – Запись произвольного файла после авторизации приводит к RCE (исправлено в мае KB5003435)

Активно используется несколькими злоумышленниками

Это предупреждение появляется после подобных тех оповещений организации для защиты своих сетей от волны атак , которые поражают десятки тысяч организаций по всему миру в марте, с подвигами , ориентированных на четыре нулевого день Microsoft Exchange ошибок , известные как ProxyLogon .

Несмотря на то, что Microsoft полностью исправила ошибки ProxyShell в мае 2021 года, они не назначили идентификаторы CVE для трех уязвимостей безопасности до июля, что не позволило некоторым организациям, у которых были непропатченные серверы, обнаружить, что в их сетях есть уязвимые системы.

После того, как недавно были раскрыты дополнительные технические подробности, как исследователи безопасности, так и злоумышленники смогли воспроизвести работающий эксплойт ProxyShell .

Затем, как это произошло в марте, злоумышленники начали сканирование и взлом серверов Microsoft Exchange с использованием уязвимостей ProxyShell .

После взлома непропатченных серверов Exchange злоумышленники сбрасывают веб-оболочки, которые позволяют им загружать и запускать вредоносные инструменты.

Хотя вначале полезные нагрузки были безвредными, злоумышленники начали развертывать полезные нагрузки вымогателя LockFile, доставляемые через домены Windows, скомпрометированные с помощью эксплойтов Windows PetitPotam .

На данный момент американская компания по безопасности Huntress Labs заявила, что до пятницы обнаружила более 140 веб-оболочек, развернутых злоумышленниками на более чем 1900 скомпрометированных серверах Microsoft Exchange.

Shodan также отслеживает десять из тысяч серверов Exchange, уязвимых для атак с использованием эксплойтов ProxyShell, большинство из которых расположены в США и Германии.

«Наблюдается новый всплеск эксплуатации серверов Microsoft Exchange», – предупредил на выходных директор по кибербезопасности АНБ Роб Джойс. «Вы должны убедиться, что вы исправлены и отслеживаете, если вы размещаете экземпляр».

АНБ также напомнило защитникам в эти выходные, что опубликованное в марте руководство по поиску веб-оболочек по-прежнему применимо к этим продолжающимся атакам.

Подробную информацию о том, как определить серверы Microsoft Exchange, которые нуждаются в исправлении для ProxyShell и как обнаружить попытки эксплуатации, можно найти в сообщении блога, опубликованном исследователем безопасности Кевином Бомонтом.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here