Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Всего за два дня через ProxyShell было взломано 2 тыс. установок Microsoft Exchange

24/08/21

Micro ExchangeВсего за два дня хакеры взломали порядка 2 тыс. почтовых серверов Microsoft Exchange и установили на них бэкдоры через неисправленные уязвимости ProxyShell.

Атаки, зафиксированные ИБ-компанией Huntress Labs, начались после публикации PoC-эксплоита ранее в этом месяце. Две недели назад участились сканирования Сети в поисках уязвимых серверов.

Уязвимости ProxyShell:

CVE-2021-34473 – обход списка обхода доступа (Access Control List, ACL Bypass). Позволяет неавторизованному атакующему удаленно выполнить код на уязвимой системе. Исправлена в апреле 2021 года в обновлении KB5001779;

CVE-2021-34523 – повышение привилегий в Exchange PowerShell Backend. Позволяет авторизованному атакующему выполнить произвольный код. Исправлена в апреле 2021 года в обновлении KB5001779;

CVE-2021-31207 – удаленное выполнение кода. Авторизованный злоумышленник может выполнить произвольный код в контексте системы и записывать произвольные файлы. Исправлена в мае 2021 года в обновлении KB5003435.

Несмотря на наличие исправлений для описанных выше уязвимостей, системные администраторы, похоже, не спешат их устанавливать. По результатам сканирования, проведенного ISC SANS 8 августа (спустя два дня после публикации PoC-эксплоита), более 30,4 тыс. серверов Exchange из 100 тыс. по-прежнему не исправлены и уязвимы к атакам.

Как сообщили специалисты Huntress Labs, они просканировали взломанные через ProxyShell серверы Microsoft Exchange и выявили более 140 разных web-оболочек на более 1,9 тыс. из них. Серверы принадлежат самым разным организациям, в том числе строительным компаниям, производителям морепродуктов, поставщикам промышленного оборудования, автомастерским, небольшому аэропорту и пр.

Проблема усугубляется публикацией на одном из русскоязычных хакерских форумов списка из более 100 тыс. подключенных к интернету серверов Exchange. Злоумышленникам достаточно лишь вооружиться доступным эксплоитом и начать атаковать серверы по списку.

Темы:ПреступлениябэкдорыбэкдорMicrosoft Exchange
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...