CISA: Microsoft Exchange under angreb med proxyshell

CISA advarer om forsøg på angreb via ’ProxyShell’ Microsoft Exchange-sårbarheder.

Det amerikanske agentur for cybersikkerhed og infrastruktur (CISA) advarer nu om aktive forsøg på udnyttelse af den seneste serie af "ProxyShell" Microsoft Exchange-sårbarheder, der ellers blev patched i april og maj. Det skriver the Hacker News på baggrund af en ’Current acitivity’-meddelelse, der blev udsendt af CISA lørdag.

I meddelelsen opfordrer CISA organisationer ’strongly’ til at identificere sårbare systemer på deres netværk og ’immediatly’ implementere de rettelser, der blev gjort tilgængelige med Microsofts sikkerhedsopdatering tilbage i foråret.

Omgåelse af ACL

Sårbarhederne har id-numrene CVE-2021-34473, CVE-2021-34523 og CVE-2021-31207, og de gør det muligt for angribere at omgå ACL controls, dvs. access control list, der indeholder regler, som tillader eller forhindrer adgang til forskellige digitale miljøer.

Udnyttelse af sårbarhederne muliggør også eskalation af privilegier på Exchange PowerShell-backend, hvorved en angriber kan afvikle uautentificeret kode udefra, dvs remote code execution.

Advarslen fra CISA kommer lidt over en uge efter, at researchere slog alarm efter at have observeret opportunistisk scanning og udnyttelse af upatchede Exchange-servere ved hjælp af ProxyShell-angrebskæden.

Links:

https://thehackernews.com/2021/08/microsoft-exchange-under-attack-with.html

https://us-cert.cisa.gov/ncas/current-activity/2021/08/21/urgent-protect-against-active-exploitation-proxyshell