Серверы Microsoft Exchange проверены на уязвимость ProxyShell

127
Платформа для ремоделирования дома Houzz нанимает Goldman для IPO

В настоящее время злоумышленники активно сканируют уязвимости удаленного выполнения кода Microsoft Exchange ProxyShell после того, как технические подробности были опубликованы на конференции Black Hat.

Прежде чем мы перейдем к активному сканированию этих уязвимостей, важно понять, как они были обнаружены.

ProxyShell — это название трех уязвимостей, которые при объединении в цепочку выполняют удаленное выполнение кода без проверки подлинности на серверах Microsoft Exchange.

Эти связанные уязвимости используются удаленно через службу клиентского доступа (CAS) Microsoft Exchange, работающую на порту 443 в IIS.

В атаках ProxyShell используются три связанных уязвимости:

  • CVE-2021-34473 — Путаница пути перед аутентификацией приводит к обходу ACL (исправлено в апреле KB5001779 )
  • CVE-2021-34523 — Повышение привилегий в серверной части Exchange PowerShell (исправлено в апреле, KB5001779 )
  • CVE-2021-31207 — запись произвольного файла после авторизации приводит к RCE (исправлено в мае KB5003435 )

Как ни странно, хотя и CVE-2021-34473, и CVE-2021-34523 были впервые раскрыты в июле, на самом деле они были незаметно исправлены в апрельском накопительном обновлении Microsoft Exchange KB5001779.

Уязвимости были обнаружены главным исследователем безопасности Devcore Orange Tsai , чья команда получила приз в размере 200000 долларов за их использование в апрельском хакерском конкурсе Pwn2Own 2021 .

В четверг Оранж Цай выступил в Black Hat с докладом о недавних уязвимостях Microsoft Exchange, которые он обнаружил при атаке на поверхность атаки Microsoft Exchange Client Access Service (CAS).

В рамках выступления Цай объяснил, что один из компонентов цепочки атак ProxyShell нацелен на службу автообнаружения Microsoft Exchange.

Microsoft представила службу автообнаружения, чтобы предоставить почтовому клиенту простой способ автоматической настройки с минимальным вмешательством со стороны пользователя.

После просмотра выступления Orange Tsai исследователи безопасности PeterJson и Jang опубликовали статью с технической информацией о том, как они могут успешно воспроизвести эксплойт ProxyShell.

Злоумышленники сканируют уязвимые серверы Exchange

На этой неделе исследователь безопасности Кевин Бомонт написал в Твиттере, что злоумышленник проверяет его приманку Microsoft Exchange на серверную службу автообнаружения.

Поскольку исправления уязвимостей ProxyShell уже выпущены, атаки не должны быть такими масштабными, как атаки ProxyLogon, которые мы наблюдали в марте и которые привели к вымогательству , вредоносным программам и краже данных на открытых серверах.

Однако Цай заявляет, что в настоящее время в Интернете открыто 400 000 серверов Microsoft Exchange, поэтому атаки будут успешными.

Последнее обновление 1 год назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии