Microsoft: ошибки ProxyShell «могут быть использованы», исправляйте серверы прямо сейчас!

32
Взломанные сайты подталкивают TeamViewer с помощью оповещения о поддельном сертификате с истекшим сроком действия

Сегодня Microsoft наконец опубликовала руководство по активно эксплуатируемым уязвимостям ProxyShell, влияющим на несколько локальных версий Microsoft Exchange.

ProxyShell – это набор из трех недостатков безопасности (исправленных в апреле и мае), обнаруженных исследователем безопасности Devcore Оранж Цай , который использовал их для взлома сервера Microsoft Exchange во время хакерского конкурса Pwn2Own 2021:

  • CVE-2021-34473 – путаница в пути перед аутентификацией приводит к обходу ACL (исправлено в апреле KB5001779 )
  • CVE-2021-34523 – Повышение привилегий в серверной части Exchange PowerShell (исправлено в апреле, KB5001779 )
  • CVE-2021-31207 – Запись произвольного файла после авторизации приводит к RCE (исправлено в мае KB5003435 )

Хотя Microsoft полностью исправила ошибки ProxyShell к маю 2021 года, они не назначили идентификаторы CVE для уязвимостей до июля, не позволяя некоторым организациям с непропатченными серверами обнаружить, что в их сетях есть уязвимые системы.

Microsoft умалчивает об активных атаках

Исследователи безопасности и Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) уже предупредили администраторов о необходимости исправления своих серверов Exchange для защиты от продолжающихся атак с использованием эксплойтов ProxyShell, которые начались в начале августа.

Однако, несмотря на все предыдущие предупреждения об активных атаках, до сегодняшнего дня Microsoft не сообщала клиентам, что их локальные серверы Exchange подвергаются атакам.

«На прошлой неделе исследователи безопасности обсудили несколько уязвимостей ProxyShell, в том числе те, которые могут быть использованы на незащищенных серверах Exchange для развертывания программ-вымогателей или выполнения других действий после эксплуатации», – заявили в команде Exchange. [курсив наш]

«Если вы установили обновления безопасности за май 2021 года или обновления безопасности за июль 2021 года на свои серверы Exchange, то вы защищены от этих уязвимостей. Клиенты Exchange Online также защищены (но должны убедиться, что все гибридные серверы Exchange обновлены)».

Microsoft говорит, что клиенты должны установить по крайней мере один из поддерживаемых последних накопительных обновлений и ВСЕХ соответствующих обновлений безопасности блокировать ProxyShell атаки.

Согласно Microsoft, серверы Exchange уязвимы, если выполняется одно из следующих условий:

  • На сервере работает более старый неподдерживаемый CU;
  • На сервере выполняются обновления безопасности для более старых неподдерживаемых версий Exchange, выпущенных в марте 2021 года; или
  • На сервере работает более старый, неподдерживаемый CU, к которому применены меры по снижению рисков EOMT от марта 2021 года.

Активная эксплуатация несколькими злоумышленниками

Предупреждение CISA в понедельник о том, что несколько злоумышленников активно используют уязвимости ProxyShell, появилось после того , как в марте аналогичные организации предупредили организации о защите своих сетей от волны атак.

Атаки March Exchange были организованы поддерживаемыми государством китайскими хакерами, которые поразили десятки тысяч организаций по всему миру, используя эксплойты, нацеленные на четыре ошибки Exchange нулевого дня, известные под общим названием ProxyLogon .

Как и в марте, злоумышленники теперь сканируют и взламывают серверы Microsoft Exchange с помощью уязвимостей ProxyShell после того, как исследователи безопасности и злоумышленники воспроизвели работающий эксплойт.

Если вначале полезные нагрузки ProxyShell, сбрасываемые на серверы Exchange, были безвредными, теперь злоумышленники развертывают полезные нагрузки вымогателя LockFile, доставляемые через домены Windows, скомпрометированные с помощью эксплойтов Windows PetitPotam.

Чтобы иметь представление о масштабах проблемы, компания по безопасности Huntress Labs недавно сообщила, что к пятнице на прошлой неделе она обнаружила более 140 веб-оболочек, развернутых злоумышленниками на более чем 1900 скомпрометированных серверах Microsoft Exchange.

Shodan также отслеживает десятки тысяч серверов Exchange, уязвимых для атак ProxyShell, большинство из которых расположены в США и Германии.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here