Skoči na vsebino

SI-CERT 2021-05 / Kritične ranljivosti Microsoft Exchange (ProxyShell)

Prva objava: 19. 8. 2021

Povzetek

Veriga ranljivosti v Microsoft Exchange omogoča oddaljeno podtikanje in zagon poljubne kode (RCE, Remote Code Execution) z administratorskimi pravicami. Gre za drugačno verigo od tiste, ki jo je Microsoft objavil marca. Ranljivosti je možno odpraviti z uradno izdanimi popravki.

Opis

Veriga ranljivosti CVE-2021-34473, CVE-2021-34523 in CVE-2021-31207 (imenovana ProxyShell) omogoča oddaljeno izvajanje ukazov na ranljivem strežniku prek odprtih vrat 443. Ranljive so naslednje različice produkta:

  • Microsoft Exchange Server 2019 Cumulative Update 9
  • Microsoft Exchange Server 2019 Cumulative Update 8
  • Microsoft Exchange Server 2016 Cumulative Update 20
  • Microsoft Exchange Server 2016 Cumulative Update 19
  • Microsoft Exchange Server 2013 Cumulative Update 23

Podobno, kot pri marčevski ProxyLogon ranljivosti, je seveda predpogoj za izkoriščanje ranljivosti dostop do vrat 443 Exchange strežnika. Interni strežniki zato niso izpostavljeni aktivnemu skeniranju, vendar vseeno svetujemo čimprejšnjo nadgradnjo.

Ranljivost je odkril Orange Tsai in jo v skladu z načeli odgovornega razkrivanja sporočil Microsoftu, ki je nato aprila in maja izdal popravke, opise ranljivosti pa je objavil šele julija. 5. avgusta 2021 je Orange Tsai odkritje predstavil na Black Hat USA konferenci.

Rešitev

Vsem skrbnikom priporočamo takojšnjo namestitev uradnih popravkov. Kadar to ni mogoče, je potrebno strežnik umakniti iz omrežja ali zapreti dostop do njega. Ker v času pisanja tega obvestila poteka aktivno skeniranje in iskanje ranljivih strežnikov, svetujemo tudi pregled sistema z namenom identifikacije nepooblaščenega odlaganja zlonamerne kode – stranskih vrat (backdoor). Poskusi skeniranja vsebujejo URI oblike (pri čemer je niz ‘test.com’ lahko zamenjan z drugim nizom):

/autodiscover/autodiscover.json?@test.com/?&Email=autodiscover/autodiscover.json%3f@test.com

Uspešne zlorabe in poskuse teh lahko na strežniku poiščete z uporabo orodja Yara in uporabo ustreznega pravila za iskanje. Če preiskava odkrije nepooblaščeno odložene artefakte, to sporočite na SI-CERT (cert@cert.si).

Obveščanje

18. 8. 2021 je SI-CERT obvestil skrbnike 88 avtonomnih sistemov (AS) v Sloveniji o potencialno ranljivih namestitvah Exchange strežnikov na njihovih omrežjih. Teh je bilo 526.

Povezave

Preberite tudi

SI-CERT 2022-04 / Ranljivost Microsoft Exchange strežnika

Dve ranljivosti Microsoft Exchange strežnika omogočata napadalcem izvedbo napada z zagonom poljubne kode, pri čemer je pogoj za uspešno izvedbo napada predhodna pridobitev pravic avtenticiranega uporabnika. Po podatkih Microsofta se veriga ranljivosti že izkorišča v omejenem številu ciljanih napadov.
Več

SI-CERT 2022-03 / Več ranljivosti v produktih podjetja Siemens

Siemens je eden vodilnih proizvajalcev sistemske avtomatizacije v proizvodnji. Objavili so vrsto varnostnih obvestil, med njimi tudi za kritične ranljivosti.
Več

SI-CERT 2022-02 / MSDT Ranljivost (Microsoft Support Diagnostic Tool)

Sistemi Microsoft Windows vsebujejo ranljivost z oznako CVE-2022-30190, ki v določenih primerih napadalcem omogoča izvedbo poljubne kode. V času objave tega obvestila uradni popravki ranljivosti še niso na voljo, sama ranljivost pa se že izkorišča v napadih (t.i. 0-day ranljivost).
Več