23/11/21
Для недавно исправленной уязвимости нулевого дня в серверах Microsoft Exchange стал доступен PoC-эксплоит.
Уязвимость CVE-2021-42321 затрагивает локальные установки Exchange Server 2016 и Exchange Server 2019 (в том числе, если используется режим Exchange Hybrid) и была исправлена Microsoft с выходом плановых ноябрьских обновлений. Успешная эксплуатация позволяет авторизованному злоумышленнику удаленно выполнить код на уязвимых серверах Exchange.
В воскресенье, 21 ноября, через две недели после выхода исправления для CVE-2021-42321, исследователь под псевдонимом Janggggg опубликовал PoC-эксплоит для нее.
"Этот PoC-эксплоит вызывает mspaint.exe на атакуемой системе, его можно использовать для распознавания сигнатуры успешной атаки", - сообщил Janggggg.
"Нам известно об ограниченных целенаправленных атаках с помощью одной из уязвимостей (CVE-2021-42321), представляющей собой пост-аутентификационную уязвимость в Exchange 2016 и 2019", - сообщила Microsoft, добавив, что системным администраторам нужно как можно скорее установить исправления.
Для того чтобы проверить, подверглись ли уязвимые серверы Exchange атаке через уязвимость CVE-2021-42321, нужно запустить на нем следующий запрос PowerShell:
Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*" }
