Útočníci aktivně skenují a využívají zranitelnosti serverů Microsoft Exchange, které nepoužily opravy zabezpečení vydané na začátku tohoto roku. ProxyShell, název pro kolekci chyb zabezpečení pro servery Microsoft Exchange, umožňuje útočníkům obejít ověřování a spouštět kód jako privilegovaný uživatel.
ProxyShell obsahuje tři samostatné chyby zabezpečení používané jako součást jednoho útoku:
- CVE-2021-34473 – Chyba zabezpečení záměny cesty před ověřením pro obejití řízení přístupu. Opraveno v KB5001779, vydáno v dubnu.
- CVE-2021-34523 – Chyba zabezpečení zvýšení oprávnění v backendu Exchange PowerShell. Opraveno v KB5001779, vydáno v dubnu.
- CVE-2021-31207 -vzdálené spuštění kódu post-auth prostřednictvím zápisu libovolného souboru. Opraveno v KB5003435, vydáno v květnu.
Další informace a co dělat:
Pokud používáte server Microsoft Exchange:
- Ujistěte se, že jste použili aktualizace zabezpečení z července 2021 pro Microsoft Exchange
- (Platí pouze pro zákazníky, kteří nemají Sophos MTR) Identifikujte a prozkoumejte svá expoziční okna pro kontroverzní aktivitu
• Identifikujte a odstraňujte webové skořepiny a škodlivé binární soubory
• Zkontrolujte aktivitu procesu pro instance w3wp.exe
• Identifikujte a odstraňte veškerou perzistenci zavedenou aktérem
Více informací a detekce společnosti Sophos naleznete v článku výrobce:
• ProxyShell vulnerabilities in Microsoft Exchange: What to do
