Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Всего за два дня через ProxyShell было взломано 2 тыс. установок Microsoft Exchange

24/08/21

Micro ExchangeВсего за два дня хакеры взломали порядка 2 тыс. почтовых серверов Microsoft Exchange и установили на них бэкдоры через неисправленные уязвимости ProxyShell.

Атаки, зафиксированные ИБ-компанией Huntress Labs, начались после публикации PoC-эксплоита ранее в этом месяце. Две недели назад участились сканирования Сети в поисках уязвимых серверов.

Уязвимости ProxyShell:

CVE-2021-34473 – обход списка обхода доступа (Access Control List, ACL Bypass). Позволяет неавторизованному атакующему удаленно выполнить код на уязвимой системе. Исправлена в апреле 2021 года в обновлении KB5001779;

CVE-2021-34523 – повышение привилегий в Exchange PowerShell Backend. Позволяет авторизованному атакующему выполнить произвольный код. Исправлена в апреле 2021 года в обновлении KB5001779;

CVE-2021-31207 – удаленное выполнение кода. Авторизованный злоумышленник может выполнить произвольный код в контексте системы и записывать произвольные файлы. Исправлена в мае 2021 года в обновлении KB5003435.

Несмотря на наличие исправлений для описанных выше уязвимостей, системные администраторы, похоже, не спешат их устанавливать. По результатам сканирования, проведенного ISC SANS 8 августа (спустя два дня после публикации PoC-эксплоита), более 30,4 тыс. серверов Exchange из 100 тыс. по-прежнему не исправлены и уязвимы к атакам.

Как сообщили специалисты Huntress Labs, они просканировали взломанные через ProxyShell серверы Microsoft Exchange и выявили более 140 разных web-оболочек на более 1,9 тыс. из них. Серверы принадлежат самым разным организациям, в том числе строительным компаниям, производителям морепродуктов, поставщикам промышленного оборудования, автомастерским, небольшому аэропорту и пр.

Проблема усугубляется публикацией на одном из русскоязычных хакерских форумов списка из более 100 тыс. подключенных к интернету серверов Exchange. Злоумышленникам достаточно лишь вооружиться доступным эксплоитом и начать атаковать серверы по списку.

Темы:ПреступлениябэкдорыбэкдорMicrosoft Exchange
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...