Af Eskil Sørensen, 23/08/21
Det amerikanske agentur for cybersikkerhed og infrastruktur (CISA) advarer nu om aktive forsøg på udnyttelse af den seneste serie af "ProxyShell" Microsoft Exchange-sårbarheder, der ellers blev patched i april og maj. Det skriver the Hacker News på baggrund af en ’Current acitivity’-meddelelse, der blev udsendt af CISA lørdag.
I meddelelsen opfordrer CISA organisationer ’strongly’ til at identificere sårbare systemer på deres netværk og ’immediatly’ implementere de rettelser, der blev gjort tilgængelige med Microsofts sikkerhedsopdatering tilbage i foråret.
Omgåelse af ACL
Sårbarhederne har id-numrene CVE-2021-34473, CVE-2021-34523 og CVE-2021-31207, og de gør det muligt for angribere at omgå ACL controls, dvs. access control list, der indeholder regler, som tillader eller forhindrer adgang til forskellige digitale miljøer.
Udnyttelse af sårbarhederne muliggør også eskalation af privilegier på Exchange PowerShell-backend, hvorved en angriber kan afvikle uautentificeret kode udefra, dvs remote code execution.
Advarslen fra CISA kommer lidt over en uge efter, at researchere slog alarm efter at have observeret opportunistisk scanning og udnyttelse af upatchede Exchange-servere ved hjælp af ProxyShell-angrebskæden.
Links:
https://thehackernews.com/2021/08/microsoft-exchange-under-attack-with.html