Skoči na vsebino

SI-CERT 2021-05 / Kritične ranljivosti Microsoft Exchange (ProxyShell)

Prva objava: 19. 8. 2021

Povzetek

Veriga ranljivosti v Microsoft Exchange omogoča oddaljeno podtikanje in zagon poljubne kode (RCE, Remote Code Execution) z administratorskimi pravicami. Gre za drugačno verigo od tiste, ki jo je Microsoft objavil marca. Ranljivosti je možno odpraviti z uradno izdanimi popravki.

Opis

Veriga ranljivosti CVE-2021-34473, CVE-2021-34523 in CVE-2021-31207 (imenovana ProxyShell) omogoča oddaljeno izvajanje ukazov na ranljivem strežniku prek odprtih vrat 443. Ranljive so naslednje različice produkta:

  • Microsoft Exchange Server 2019 Cumulative Update 9
  • Microsoft Exchange Server 2019 Cumulative Update 8
  • Microsoft Exchange Server 2016 Cumulative Update 20
  • Microsoft Exchange Server 2016 Cumulative Update 19
  • Microsoft Exchange Server 2013 Cumulative Update 23

Podobno, kot pri marčevski ProxyLogon ranljivosti, je seveda predpogoj za izkoriščanje ranljivosti dostop do vrat 443 Exchange strežnika. Interni strežniki zato niso izpostavljeni aktivnemu skeniranju, vendar vseeno svetujemo čimprejšnjo nadgradnjo.

Ranljivost je odkril Orange Tsai in jo v skladu z načeli odgovornega razkrivanja sporočil Microsoftu, ki je nato aprila in maja izdal popravke, opise ranljivosti pa je objavil šele julija. 5. avgusta 2021 je Orange Tsai odkritje predstavil na Black Hat USA konferenci.

Rešitev

Vsem skrbnikom priporočamo takojšnjo namestitev uradnih popravkov. Kadar to ni mogoče, je potrebno strežnik umakniti iz omrežja ali zapreti dostop do njega. Ker v času pisanja tega obvestila poteka aktivno skeniranje in iskanje ranljivih strežnikov, svetujemo tudi pregled sistema z namenom identifikacije nepooblaščenega odlaganja zlonamerne kode – stranskih vrat (backdoor). Poskusi skeniranja vsebujejo URI oblike (pri čemer je niz ‘test.com’ lahko zamenjan z drugim nizom):

/autodiscover/autodiscover.json?@test.com/?&Email=autodiscover/autodiscover.json%3f@test.com

Uspešne zlorabe in poskuse teh lahko na strežniku poiščete z uporabo orodja Yara in uporabo ustreznega pravila za iskanje. Če preiskava odkrije nepooblaščeno odložene artefakte, to sporočite na SI-CERT (cert@cert.si).

Obveščanje

18. 8. 2021 je SI-CERT obvestil skrbnike 88 avtonomnih sistemov (AS) v Sloveniji o potencialno ranljivih namestitvah Exchange strežnikov na njihovih omrežjih. Teh je bilo 526.

Povezave

Preberite tudi

SI-CERT 2024-07 / Ranljivost OpenPrinting CUPS sistema v GNU/Linux

Veriga ranljivosti v sistemu OpenPrinting CUPS napadalcu omogoča, da ob določenih pogojih izvede poljubno programsko kodo na ranljivem sistemu s pravicami uporabnika 'lp'
Več

SI-CERT 2024-06 / Kritična ranljivost GeoServer (CVE-2024-36401)

Strežnik GeoServer vsebuje kritično ranljivost, ki omogoča izvajanje programske kode na daljavo. Ranljivost se že izrablja v omrežnih napadih.
Več

SI-CERT 2024-05 / Ranljivost Check Point Remote Access VPN

Omrežni varnostni prehodi Check Point, ki imajo omogočen oddaljeni dostop VPN ali uporabljajo Check Point Mobile Secure Workspace with Capsule, so ranljivi na preskakovanje poti, ki omogoča branje poljubnih datotek z datotečnega sistema.
Več