Совокупная эксплуатация ProxyShell позволяет удаленному неавторизованному атакующему выполнить код на уязвимом сервере.
Киберпреступники активно сканируют интернет в поисках доступных установок Microsoft Exchange с неисправленными уязвимостями ProxyShell. Сканирования начались после того, как новые подробности об уязвимостях были представлены на прошлой неделе на конференции Black Hat в Лас-Вегасе.
ProxyShell – общее название для трех уязвимостей в Microsoft Exchange, совокупная эксплуатация которых позволяет удаленному неавторизованному атакующему выполнить произвольный код на уязвимом сервере. Как сообщают исследователи, в настоящее время злоумышленники пытаются удаленно проэксплуатировать ProxyShell через Client Access Service (CAS), запущенный на порту 443 в Internet Information Services (IIS).
Речь идет о следующих уязвимостях:
CVE-2021-34473 – обход списка обхода доступа (Access Control List, ACL Bypass). Исправлена в апреле 2021 года в обновлении KB5001779;
CVE-2021-34523 – повышение привилегий в Exchange PowerShell Backend. Исправлена в апреле 2021 года в обновлении KB5001779;
CVE-2021-31207 – удаленное выполнение кода. Исправлена в мае 2021 года в обновлении KB5003435.
Уязвимости CVE-2021-34473 и CVE-2021-34523 были раскрыты в июле, хотя были исправлены в апреле. Они были обнаружены главным исследователем безопасности ИБ-компании Devcore Оранжем Цаем (Orange Tsai), чья команда получила награду в $200 тыс. за их использование на хакерских соревнованиях Pwn2Own 2021 в апреле.
На прошлой неделе на конференции Black Hat в Лас-Вегасе Цай рассказал об уязвимостях в Microsoft Exchange, обнаруженных в ходе тестовых атак на Microsoft Exchange Client Access Service (CAS). Как пояснил исследователь, один из компонентов цепочки его атаки ProxyShell был направлен на службу Microsoft Exchange Autodiscover.
Autodiscover позволяют почтовому клиенту автоматически настраивать собственную конфигурацию при минимальном взаимодействием с пользователем.
Как сообщил исследователь безопасности Кевин Бомон (Kevin Beaumont), ему удалось «поймать» в свои ханипоты киберпреступников, пытавшихся атаковать Autodiscover. Хотя поначалу их попытки были безуспешными, на днях, после предоставления Цаем дополнительных сведений об уязвимостях, злоумышленники изменили процесс сканирования и стали использовать опубликованный исследователем URL-адрес Autodiscover. Благодаря этому им удается успешно выявлять уязвимые системы.
Во избежание возможных атак администраторам Microsoft Exchange рекомендуется установить последние накопительные обновления. По данным Цая, в настоящее время через интернет доступны 400 тыс. серверов Microsoft Exchange. Бомон связался с Microsoft и сообщил ей об обнаруженных сканирования, но пока не получил никакого ответа.
Собираем и анализируем опыт профессионалов ИБ