• Služby a produkty
• • Provoz ICT – Outsourcing
  • • Dodávky HW a SW
    • Dohledové služby
    • Správa ICT
    • Odborná podpora
    • Revize elektrických spotřebičů
    • Údržba a profylaxe
    • Servis a opravy zařízení
    • Pronájem HW, SW a administrátorů
  • Řízení ICT
  • • Systém řízení ICT služeb (ITSM)
    • Service Desk
    • Optimalizace provozních nákladů ICT
  • Bezpečnost ICT
  • • Systém řízení bezpečnosti informací (ISMS)
    • Audit SW / HW / procesy
    • Zabezpečení infrastruktury
    • Dohled bezpečnosti ICT
• O společnosti
• Partneři
• Kariéra
• Kontakty
• Novinky

Novinky

Novinky

Upozornění na aktivní zneužívání zranitelnosti Microsoft Exchange Server - ProxyShell

Upozorňujeme na sérii závažných zranilteností postihující Microsoft Exchange Server 2013, 2016 a 2019. Zranitelné jsou všechny tyto servery, které nebyly aktualizované od dubna 2021 a jsou přístupné na portu 443.

• CVE-2021-34473 - Vzdálené spuštění kódu skrze chybu ve zpracování požadavku
• CVE-2021-34523 - Eskalace oprávnění skrze chybu v Exchange PowerShell Remoting
• CVE-2021-31207 - Umožnění zápisu souboru na server a vzdálené spuštění kódu

Jednotlivé zranitelnosti již byly opraveny bezpečnostními aktualizacemi vydanými v dubnu (KB5001779 pro CVE-2021-34473 a CVE-2021-34523 ) a květnu (KB5003435 pro CVE-2021-31207). Zranitelnosti lze ovšem nově zneužít v jejich kombinaci k útoku zvaný ProxyShell, který byl v srpnu prezentován na konferenci BlackHat USA. Obdobně jako u série zranitelností ProxyLogon z března 2021 umožňuje tento útok nahrát na server webshell, přes který může útočník vzdáleně spouštět kód s nejvyšším oprávněním a zcela tak kompromitovat daný server.

Aktuálně již bylo zveřejněno několik dílčích kodů replikujících prezentovaný útok, a lze očekávat, že se následujících dnech objeví veřejně dostupné kompletní a sofistikovanější verze. Zranitelné systémy jsou aktuálně aktivně skenované a je zaznaměnána řada případů úspěšného zneužítí.

Dle vyhledávače Shodan se k 13.8.2021 zranitelnosti týkají 865 serverů v ČR.

Všem správcům dotčených systému doporučujeme bezodkladně nainstalovat poslední dostupné bezpečnostní aktualizace pro Exchange Server dle dokumentace Microsoft

Dále také doporučujeme prověřit indikátory potenciálního zneužítí:

• POST requesty obsahující "/PowerShell/", "/autodiscover/autodiscover.json", "/mapi/nspi/ v IIS logu
• přítomnost nelegitimních .ASPX souborů ve složce "C:\inetpub\wwwroot\aspnet_client" (dle informací často o velikost 265KB)

Vzor URL požíváné útočníky ke zneužití CVE-2021-34473. Uvedená e-mailová adresa v URL nemusí být platná a může se měnit:

hXXps://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com

 

ZRANITELNÉ SYSTÉMY:

Systém/program: Exchange Server 2013, 2016, 2019
Zranitelná verze: 2013 CU 23 a nižší, 2016 CU 20 a nižší, 2019 CU 9 a nižší
Opravená verze: Security update KB5003435 a vyšší

Vektor zneužítí: Síť
Složtost útoku: Nízká
Vyžadovaná oprávnění: Žádná
Vyžadovaná interakce uživatele: Ne

Citováno dne 17.08.2021 z: https://www.nukib.cz/cs/infoservis/hrozby/1739-upozorneni-na-aktivni-zneuzivani-zranitelnosti-microsoft-exchange-server-proxyshell/

• O společnosti
• Partneři
• Kariéra
• Kontakty
• Novinky

• Provoz ICT – Outsourcing
• Dodávky HW a SW
• Dohledové služby
• Správa ICT
• Odborná podpora
• Revize elektrických spotřebičů
• Údržba a profylaxe
• Servis a opravy zařízení
• Pronájem HW, SW a administrátorů

• Řízení ICT
• Systém řízení ICT služeb (ITSM)
• Service Desk
• Optimalizace provozních nákladů ICT

• Bezpečnost ICT
• Systém řízení bezpečnosti informací (ISMS)
• Audit SW / HW / procesy
• Zabezpečení infrastruktury
• Dohled bezpečnosti ICT

© Copyright 2024 Hi-Tech Services, spol. s r.o.