Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Всего за два дня через ProxyShell было взломано 2 тыс. установок Microsoft Exchange

24/08/21

Micro ExchangeВсего за два дня хакеры взломали порядка 2 тыс. почтовых серверов Microsoft Exchange и установили на них бэкдоры через неисправленные уязвимости ProxyShell.

Атаки, зафиксированные ИБ-компанией Huntress Labs, начались после публикации PoC-эксплоита ранее в этом месяце. Две недели назад участились сканирования Сети в поисках уязвимых серверов.

Уязвимости ProxyShell:

CVE-2021-34473 – обход списка обхода доступа (Access Control List, ACL Bypass). Позволяет неавторизованному атакующему удаленно выполнить код на уязвимой системе. Исправлена в апреле 2021 года в обновлении KB5001779;

CVE-2021-34523 – повышение привилегий в Exchange PowerShell Backend. Позволяет авторизованному атакующему выполнить произвольный код. Исправлена в апреле 2021 года в обновлении KB5001779;

CVE-2021-31207 – удаленное выполнение кода. Авторизованный злоумышленник может выполнить произвольный код в контексте системы и записывать произвольные файлы. Исправлена в мае 2021 года в обновлении KB5003435.

Несмотря на наличие исправлений для описанных выше уязвимостей, системные администраторы, похоже, не спешат их устанавливать. По результатам сканирования, проведенного ISC SANS 8 августа (спустя два дня после публикации PoC-эксплоита), более 30,4 тыс. серверов Exchange из 100 тыс. по-прежнему не исправлены и уязвимы к атакам.

Как сообщили специалисты Huntress Labs, они просканировали взломанные через ProxyShell серверы Microsoft Exchange и выявили более 140 разных web-оболочек на более 1,9 тыс. из них. Серверы принадлежат самым разным организациям, в том числе строительным компаниям, производителям морепродуктов, поставщикам промышленного оборудования, автомастерским, небольшому аэропорту и пр.

Проблема усугубляется публикацией на одном из русскоязычных хакерских форумов списка из более 100 тыс. подключенных к интернету серверов Exchange. Злоумышленникам достаточно лишь вооружиться доступным эксплоитом и начать атаковать серверы по списку.

Темы:ПреступлениябэкдорыбэкдорMicrosoft Exchange
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...