Выпущен эксплойт для ошибки Microsoft Exchange RCE, исправлен сейчас

11
Выпущен эксплойт для ошибки Microsoft Exchange RCE, исправлен сейчас

В минувшие выходные в сети был опубликован проверочный код эксплойта для активно эксплуатируемой уязвимости высокой степени серьезности, затрагивающей серверы Microsoft Exchange.

Ошибка безопасности, отслеживаемая как CVE-2021-42321, влияет на локальные Exchange Server 2016 и Exchange Server 2019 (включая те, которые используются клиентами в гибридном режиме Exchange) и была исправлена ​​корпорацией Майкрософт во вторник исправлений в этом месяце.

Успешная эксплуатация позволяет злоумышленникам, прошедшим проверку подлинности, удаленно выполнять код на уязвимых серверах Exchange.

В воскресенье, почти через две недели после выпуска патча CVE-2021-42321 , исследователь Janggggg опубликовал экспериментальный эксплойт для ошибки RCE после авторизации в Exchange.

«Этот PoC просто запускает mspaint.exe на цель, и его можно использовать для распознавания сигнатуры успешного события атаки», — сказал исследователь.

Админы предупреждены о немедленном исправлении

«Нам известно об ограниченных целевых атаках в дикой природе с использованием одной из уязвимостей (CVE-2021-42321), которая является уязвимостью после аутентификации в Exchange 2016 и 2019», — заявили в Microsoft.

«Мы рекомендуем немедленно установить эти обновления, чтобы защитить вашу среду», — заявила компания, призывая администраторов Exchange исправить ошибку, используемую в «дикой природе».

Если вы еще не устранили эту уязвимость безопасности на своих локальных серверах, вы можете произвести быструю инвентаризацию всех серверов Exchange в вашей среде, которые нуждаются в обновлении, с помощью последней версии сценария проверки работоспособности Exchange Server .

Чтобы проверить, не пострадал ли какой-либо из ваших уязвимых серверов Exchange от попыток эксплуатации CVE-2021-42321, вам необходимо выполнить этот запрос PowerShell на каждом сервере Exchange, чтобы проверить наличие определенных событий в журнале событий:

Get-EventLog -LogName Application -Source «MSExchange Common» -EntryType Error | Where-Object { $_.Message -like «*BinaryFormatter.Deserialize*» }

Локальные серверы Exchange под атакой

С начала 2021 года администраторы Exchange столкнулись с двумя массовыми атаками, нацеленными на уязвимости безопасности ProxyLogon и ProxyShell.

С начала марта поддерживаемые государством и финансово мотивированные злоумышленники использовали эксплойты ProxyLogon для развертывания веб-оболочек, криптомайнеров, программ-вымогателей и других вредоносных программ.

В этих атаках они были нацелены на более четверти миллиона серверов Microsoft Exchange, принадлежащих десяткам тысяч организаций по всему миру.

Четыре месяца спустя США и их союзники, включая ЕС, Великобританию и НАТО, официально обвинили Китай в этих широко распространенных хакерских атаках на Microsoft Exchange.

В августе актеры угрозы также начали сканирование для и нарушения серверов Exchange , за счет использования ProxyShell уязвимости после исследователи безопасности воспроизвели работу эксплоита .

Хотя полезные нагрузки, сброшенные с помощью эксплойтов ProxyShell, вначале были безвредными, позже злоумышленники переключились на развертывание полезных нагрузок вымогателя LockFile в доменах Windows, взломанных с помощью эксплойтов Windows PetitPotam .

Благодаря этой последней уязвимости (CVE-2021-42321) исследователи уже наблюдают, как злоумышленники сканируют уязвимые системы и пытаются взломать их.

Поскольку Microsoft Exchange стал популярной целью для злоумышленников для получения первоначального доступа к сетям целей, настоятельно рекомендуется обновлять серверы с помощью последних исправлений безопасности.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here