Skoči na vsebino

SI-CERT 2021-05 / Kritične ranljivosti Microsoft Exchange (ProxyShell)

Prva objava: 19. 8. 2021

Povzetek

Veriga ranljivosti v Microsoft Exchange omogoča oddaljeno podtikanje in zagon poljubne kode (RCE, Remote Code Execution) z administratorskimi pravicami. Gre za drugačno verigo od tiste, ki jo je Microsoft objavil marca. Ranljivosti je možno odpraviti z uradno izdanimi popravki.

Opis

Veriga ranljivosti CVE-2021-34473, CVE-2021-34523 in CVE-2021-31207 (imenovana ProxyShell) omogoča oddaljeno izvajanje ukazov na ranljivem strežniku prek odprtih vrat 443. Ranljive so naslednje različice produkta:

  • Microsoft Exchange Server 2019 Cumulative Update 9
  • Microsoft Exchange Server 2019 Cumulative Update 8
  • Microsoft Exchange Server 2016 Cumulative Update 20
  • Microsoft Exchange Server 2016 Cumulative Update 19
  • Microsoft Exchange Server 2013 Cumulative Update 23

Podobno, kot pri marčevski ProxyLogon ranljivosti, je seveda predpogoj za izkoriščanje ranljivosti dostop do vrat 443 Exchange strežnika. Interni strežniki zato niso izpostavljeni aktivnemu skeniranju, vendar vseeno svetujemo čimprejšnjo nadgradnjo.

Ranljivost je odkril Orange Tsai in jo v skladu z načeli odgovornega razkrivanja sporočil Microsoftu, ki je nato aprila in maja izdal popravke, opise ranljivosti pa je objavil šele julija. 5. avgusta 2021 je Orange Tsai odkritje predstavil na Black Hat USA konferenci.

Rešitev

Vsem skrbnikom priporočamo takojšnjo namestitev uradnih popravkov. Kadar to ni mogoče, je potrebno strežnik umakniti iz omrežja ali zapreti dostop do njega. Ker v času pisanja tega obvestila poteka aktivno skeniranje in iskanje ranljivih strežnikov, svetujemo tudi pregled sistema z namenom identifikacije nepooblaščenega odlaganja zlonamerne kode – stranskih vrat (backdoor). Poskusi skeniranja vsebujejo URI oblike (pri čemer je niz ‘test.com’ lahko zamenjan z drugim nizom):

/autodiscover/autodiscover.json?@test.com/?&Email=autodiscover/autodiscover.json%3f@test.com

Uspešne zlorabe in poskuse teh lahko na strežniku poiščete z uporabo orodja Yara in uporabo ustreznega pravila za iskanje. Če preiskava odkrije nepooblaščeno odložene artefakte, to sporočite na SI-CERT (cert@cert.si).

Obveščanje

18. 8. 2021 je SI-CERT obvestil skrbnike 88 avtonomnih sistemov (AS) v Sloveniji o potencialno ranljivih namestitvah Exchange strežnikov na njihovih omrežjih. Teh je bilo 526.

Povezave

Preberite tudi

SI-CERT 2021-04 / Kritična ranljivost Microsoft Windows Print Spooler servisa

Ranljivost omogoča kateremukoli avtenticiranemu uporabniku oddaljeno izvajanje kode s privilegiji SYSTEM uporabnika na sistemih Microsoft Windows, ki imajo omogočen Print spooler servis. PoC koda, ki omogoča izkoriščanje ranljivost, je že javno objavljena.
Več

SI-CERT 2021-03 / Širjenje okužb s trojanskim konjem QBot

Povzetek QBot (tudi Qakbot) je trojanski konj, prvenstveno namenjen kraji podatkov iz okuženega sistema, ki je v različnih oblikah prisoten že več kot 10 let. V zadnjih različicah je pridobil …
Več

SI-CERT 2021-02 / Kritične ranljivosti Exim poštnega strežnika

V sistemu za posredovanje e-sporočil (MTA) Exim je bilo odkritih več varnostnih pomanjkljivosti, med njimi so tudi take, ki omogočajo izvajanje ukazov na daljavo s povišanimi (root) pravicami (remote command execution – RCE). Ranljivosti so prisotne v vseh različicah Exim MTA izdanih do trenutno zadnje verzije 4.94.2. Vsem uporabnikom svetujemo takojšnjo posodobitev na zadnjo dostopno različico.
Več