Skoči na vsebino

SI-CERT 2021-05 / Kritične ranljivosti Microsoft Exchange (ProxyShell)

Prva objava: 19. 8. 2021

Povzetek

Veriga ranljivosti v Microsoft Exchange omogoča oddaljeno podtikanje in zagon poljubne kode (RCE, Remote Code Execution) z administratorskimi pravicami. Gre za drugačno verigo od tiste, ki jo je Microsoft objavil marca. Ranljivosti je možno odpraviti z uradno izdanimi popravki.

Opis

Veriga ranljivosti CVE-2021-34473, CVE-2021-34523 in CVE-2021-31207 (imenovana ProxyShell) omogoča oddaljeno izvajanje ukazov na ranljivem strežniku prek odprtih vrat 443. Ranljive so naslednje različice produkta:

  • Microsoft Exchange Server 2019 Cumulative Update 9
  • Microsoft Exchange Server 2019 Cumulative Update 8
  • Microsoft Exchange Server 2016 Cumulative Update 20
  • Microsoft Exchange Server 2016 Cumulative Update 19
  • Microsoft Exchange Server 2013 Cumulative Update 23

Podobno, kot pri marčevski ProxyLogon ranljivosti, je seveda predpogoj za izkoriščanje ranljivosti dostop do vrat 443 Exchange strežnika. Interni strežniki zato niso izpostavljeni aktivnemu skeniranju, vendar vseeno svetujemo čimprejšnjo nadgradnjo.

Ranljivost je odkril Orange Tsai in jo v skladu z načeli odgovornega razkrivanja sporočil Microsoftu, ki je nato aprila in maja izdal popravke, opise ranljivosti pa je objavil šele julija. 5. avgusta 2021 je Orange Tsai odkritje predstavil na Black Hat USA konferenci.

Rešitev

Vsem skrbnikom priporočamo takojšnjo namestitev uradnih popravkov. Kadar to ni mogoče, je potrebno strežnik umakniti iz omrežja ali zapreti dostop do njega. Ker v času pisanja tega obvestila poteka aktivno skeniranje in iskanje ranljivih strežnikov, svetujemo tudi pregled sistema z namenom identifikacije nepooblaščenega odlaganja zlonamerne kode – stranskih vrat (backdoor). Poskusi skeniranja vsebujejo URI oblike (pri čemer je niz ‘test.com’ lahko zamenjan z drugim nizom):

/autodiscover/autodiscover.json?@test.com/?&Email=autodiscover/autodiscover.json%3f@test.com

Uspešne zlorabe in poskuse teh lahko na strežniku poiščete z uporabo orodja Yara in uporabo ustreznega pravila za iskanje. Če preiskava odkrije nepooblaščeno odložene artefakte, to sporočite na SI-CERT (cert@cert.si).

Obveščanje

18. 8. 2021 je SI-CERT obvestil skrbnike 88 avtonomnih sistemov (AS) v Sloveniji o potencialno ranljivih namestitvah Exchange strežnikov na njihovih omrežjih. Teh je bilo 526.

Povezave

Preberite tudi

SI-CERT 2023-02 / Zloraba dobavne verige: 3CX Electron DesktopApp

Povzetek Podjetje 3CX je izdalo varnostno opozorilo za aplikacijo 3CX Electron DesktopApp. Gre za programski telefon (softphone), katerega zlorabo so podrobneje raziskali in potrdili tudi pri podjetjih SentielOne in CrowdStrike. Gre …
Več

SI-CERT 2023-01 / Uhajanje NTLM poverilnic preko Outlook ranljivosti

Microsoft je zaznal aktivno izkoriščanje ranljivosti, ki napadalcu prek poštnega sporočila naslovljenega prejemniku, ki uporablja Outlook, omogoča krajo NTLM zgoščene vrednosti prejemnikovega gesla za prijavo v Windows
Več

SI-CERT 2022-07 / Ranljivost Citrix ADC in Citrix Gateway

Objavljeno: 14.12.2022 Povzetek Citrix Gateway in Citrix ADC (Application Delivery Controller) vsebujeta kritično ranljivost, ki neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Uradni popravki so že na voljo. Ranljivost se …
Več