Prva objava: 19. 8. 2021
Povzetek
Veriga ranljivosti v Microsoft Exchange omogoča oddaljeno podtikanje in zagon poljubne kode (RCE, Remote Code Execution) z administratorskimi pravicami. Gre za drugačno verigo od tiste, ki jo je Microsoft objavil marca. Ranljivosti je možno odpraviti z uradno izdanimi popravki.
Opis
Veriga ranljivosti CVE-2021-34473, CVE-2021-34523 in CVE-2021-31207 (imenovana ProxyShell) omogoča oddaljeno izvajanje ukazov na ranljivem strežniku prek odprtih vrat 443. Ranljive so naslednje različice produkta:
- Microsoft Exchange Server 2019 Cumulative Update 9
- Microsoft Exchange Server 2019 Cumulative Update 8
- Microsoft Exchange Server 2016 Cumulative Update 20
- Microsoft Exchange Server 2016 Cumulative Update 19
- Microsoft Exchange Server 2013 Cumulative Update 23
Podobno, kot pri marčevski ProxyLogon ranljivosti, je seveda predpogoj za izkoriščanje ranljivosti dostop do vrat 443 Exchange strežnika. Interni strežniki zato niso izpostavljeni aktivnemu skeniranju, vendar vseeno svetujemo čimprejšnjo nadgradnjo.
Ranljivost je odkril Orange Tsai in jo v skladu z načeli odgovornega razkrivanja sporočil Microsoftu, ki je nato aprila in maja izdal popravke, opise ranljivosti pa je objavil šele julija. 5. avgusta 2021 je Orange Tsai odkritje predstavil na Black Hat USA konferenci.
Rešitev
Vsem skrbnikom priporočamo takojšnjo namestitev uradnih popravkov. Kadar to ni mogoče, je potrebno strežnik umakniti iz omrežja ali zapreti dostop do njega. Ker v času pisanja tega obvestila poteka aktivno skeniranje in iskanje ranljivih strežnikov, svetujemo tudi pregled sistema z namenom identifikacije nepooblaščenega odlaganja zlonamerne kode – stranskih vrat (backdoor). Poskusi skeniranja vsebujejo URI oblike (pri čemer je niz ‘test.com’ lahko zamenjan z drugim nizom):
/autodiscover/autodiscover.json?@test.com/?&Email=autodiscover/autodiscover.json%3f@test.com
Uspešne zlorabe in poskuse teh lahko na strežniku poiščete z uporabo orodja Yara in uporabo ustreznega pravila za iskanje. Če preiskava odkrije nepooblaščeno odložene artefakte, to sporočite na SI-CERT (cert@cert.si).
Obveščanje
18. 8. 2021 je SI-CERT obvestil skrbnike 88 avtonomnih sistemov (AS) v Sloveniji o potencialno ranljivih namestitvah Exchange strežnikov na njihovih omrežjih. Teh je bilo 526.
Povezave
- Microsoft July 2021 Security Updates (KB articles 5004778, 5004779, 5004780)
- Zero Day Initiative: From Pwn2Own 2021: A New Attack Surface on Microsoft Exchange – ProxyShell!
- Bleeping Computer: Microsoft Exchange servers are getting hacked via ProxyShell exploits
- CERT.at: ProxyShell in Österreich