Af Eskil Sørensen, 09/08/21
Trusselsaktører scanner nu aktivt efter sårbarheder ved fjernelse af kode i Microsoft Exchange ProxyShell, efter at tekniske detaljer blev frigivet på Black Hat-konferencen. Det skriver Bleeping Computer på bagkant af et indlæg fra Black Hat-konference torsdag i sidste uge.
ProxyShell er navnet på tre sårbarheder, der når de er sammenkædet, kan udføre uautentificeret, ekstern afvikling af kode på Microsoft Exchange-servere.
De tre sårbarheder, der bruges i ProxyShell-angrebet, er
- CVE-2021-34473 - Pre-auth Path Confusion leads to ACL Bypass
- CVE-2021-34523 - Elevation of Privilege on Exchange PowerShell Backend
- CVE-2021-31207 - Post-auth Arbitrary-File-Write leads to RCE
Sårbarhederne blev patchet i foråret og udløste en dusør på hele 200.000 dollars for deres afsløring.
Senest har det så vist sig, at en af komponenterne i ProxyShell-angrebskæden kan anvendes i målrettet angreb mod Microsoft Exchange Autodiscover-tjenesten. En tjeneste, der ifølge Bleeping Computer er blevet udviklet af Microsoft for at give en let måde for e-mail-klientsoftware at automatisk konfigurere sig selv med minimalt input fra brugeren.
Det er to sikkerhedsresearchere, der har offentliggjort en artikel med tekniske oplysninger om, hvordan de med succes kunne gengive ProxyShell-udnyttelsen. Det er disse oplysninger, som angiveligt forsøges anvendt, hvis en scanning skulle vise sårbare Exchange-servere.
Ingen succes hidtil
Hidtil er det imidlertid ikke lykkedes at udnytte sårbarheden, men det er ifølge Bleeping Computers journalist Lawrence Abrams et spørgsmål om tid, før det sker. Det anbefales derfor også – som det altid gør – at Microsoft Exchange-administratorer installerer de seneste opdateringer, så de er beskyttet mod sårbarhederne.
Det fremgår også, at evt. angreb af samme årsag ikke bør være så vidtgående som de ProxyLogon-angreb, som blev set marts, hvor Microsoft uden for den normale opdateringscyklus sendte en patch til Exchange Server på gaden.