Критические уязвимости ProxyShell

Atacatorii scanează și exploatează în mod activ serverele Microsoft Exchange vulnerabile care nu au aplicat patch-uri de securitate lansate la începutul acestui an.

ProxyShell, numele dat unei suite de vulnerabilități pentru serverele Microsoft Exchange, permite unui atacator să ocolească autentificarea și să execute codul ca utilizator privilegiat.

ProxyShell cuprinde trei vulnerabilități separate utilizate ca parte a unui singur lanț de atac:
- CVE-2021-34473 “Pre-auth path confusion vulnerability to bypass access control”, patch publicat în Aprilie - KB5001779;
- CVE-2021-34523 „Privilege elevation vulnerability in the Exchange PowerShell backend”, patch publicat în Aprilie - KB5001779;
- CVE-2021-31207 „Post-auth remote code execution via arbitrary file write” , patch publicat în Mai - KB5003435.

Cum funcționează atacul
Vulnerabilitățile se află în Microsoft Client Access Service (CAS) care rulează de obicei pe portul 443 din IIS (serverul web Microsoft). CAS este de obicei expus la internetul public pentru a permite utilizatorilor să-și acceseze e-mailul prin dispozitive mobile și browsere web. Această expunere a condus la o exploatare pe scară largă de către atacatori care desfășoară în mod obișnuit web shells pentru a executa de la distanță cod arbitrar pe dispozitive compromise, similar cu cel observat în atacul HAFNIUM.

Remediere
Orange Moldova CERT recomandă următoarele acţiuni principale necesare de a fi întreprinse în mod urgent:
1. Faceți o copie de rezervă a jurnalelor Exchange IIS / Server și asigurați-vă că ați aplicat actualizările de securitate din iulie 2021 pentru Microsoft Exchange
2. Identificați și investigați ale dvs. exposure windows pentru activități contradictorii.
- Identificați și ștergeți paginile web și binarele malware
- Revedeți activitatea procesului pentru instanțe de w3wp.exe
- Identificați și eliminați orice persistență stabilită de un actor
3. Asigurați-vă că protecția este implementată pe toate dispozitivele. Verificați dacă protecția a fost activată și dacă excluderile dvs. sunt reduse la minimum.

În cazul în care sunteţi ţinta unui atac cibernetic Echipa Orange Moldova CERT vă pune la dispoziție consultanţă şi o suită de soluţii avansate de securitate cibernetică. Contactează un expert la 700 de pe numărul Orange sau +373 22 977 700 din alte rețele pentru a primi suport instant.