Serverele Microsoft Exchange vulnerabile la o serie de atacuri

Agenția americană pentru securitate cibernetică și infrastructură, avertizează cu privire la cea mai recentă serie de vulnerabilități Microsoft Exchange ProxyShell.

Cunoscutete ca CVE-2021-34473, CVE-2021-34523 și CVE-2021-31207, vulnerabilitățile permit atacatorilor să ocolească ACL-urile, să escaladeze privilegiile din backend-ul Exchange PowerShell, permițând executarea de coduri remote.

Demonstrat inițial la concursul de hacking Pwn2Own, ProxyShell face parte dintr-un trio mai amplu de lanțuri de exploatare descoperite de cercetătorul Orange Tsai din domeniul securității cibernetice DEVCOR0E.   ProxyShell include ProxyLogon și ProxyOracle, acesta din urmă exploatând două vulnerabilități de executare a unor coduri remote, care ar putea fi utilizate pentru a fura parola unui utilizator.

Potrivit cercetătorilor de la Huntress Labs, cel puțin cinci stiluri distincte de shell-uri web au fost observate pe servere vulnerabile Microsoft Exchange, cu peste 100 de incidente de exploatare raportate în perioada 17-18 august. Shell-urile web oferă atacatorilor acces remote către serverele compromise, dar nu este clar care sunt obiectivele sau în ce măsură au fost utilizate.

Până în prezent, peste 140 de shell-uri web au fost detectate în nu mai puțin de 1.900 de servere de Exchange neactualizate. CEO-ul de la Huntress Labs, Kyle Hanslovan, a publicat pe Twitter, spunând că organizațiile afectate includ până acum domeniul construcțiilor, mașini industriale, ateliere de reparații auto, un mic aeroport rezidențial și multe altele.

Sursa: https://thehackernews.com/2021/08/microsoft-exchange-under-attack-with.html