Các tác nhân đe dọa đang tích cực thực hiện quét và khai thác của các máy chủ Exchange sử dụng chuỗi khai thác mới tận dụng bộ ba lỗ hổng ảnh hưởng đến cài đặt tại chỗ, khiến chúng trở thành nhóm lỗi mới nhất sau khi lỗ hổng ProxyLogon bị khai thác hàng loạt vào đầu năm.
Các lỗi thực thi mã từ xa được gọi chung là “ProxyShell.” Ít nhất 30.000 máy bị ảnh hưởng bởi các lỗ hổng bảo mật, theo để quét Shodan do Jan Kopriva của Trung tâm Bão Internet SANS thực hiện.
“Bắt đầu thấy những nỗ lực khai thác hoang dã chống lại cơ sở hạ tầng honeypot của chúng tôi cho các lỗ hổng Exchange ProxyShell”, Richard Warren của NCC Group đã tweet, lưu ý rằng một trong những lần xâm nhập đã dẫn đến việc triển khai một webshell “C # aspx trong thư mục / aspnet_client /.”
Được vá vào đầu tháng 3 năm 2021, ProxyLogon là biệt danh của CVE-2021-26855, một lỗ hổng giả mạo yêu cầu phía máy chủ trong Exchange Server cho phép kẻ tấn công kiểm soát một máy chủ dễ bị tấn công với tư cách là quản trị viên và có thể được liên kết với một tệp-ghi tùy ý sau xác thực khác lỗ hổng bảo mật, CVE-2021-27065, để thực thi mã.
Các lỗ hổng được đưa ra ánh sáng sau khi Microsoft đổ đậu về một hoạt động tấn công do Bắc Kinh tài trợ đã tận dụng các điểm yếu để tấn công các thực thể ở Hoa Kỳ nhằm mục đích lấy cắp thông tin trong những gì công ty mô tả là các cuộc tấn công có mục tiêu và hạn chế.
Kể từ đó, nhà sản xuất Windows đã sửa thêm sáu lỗi trong thành phần máy chủ thư của mình, hai trong số đó được gọi là ProxyOracle, cho phép kẻ thù khôi phục mật khẩu của người dùng ở định dạng văn bản rõ ràng.
Ba vấn đề khác – được gọi là ProxyShell – có thể bị lạm dụng để vượt qua các điều khiển ACL, nâng cao đặc quyền trên phần phụ trợ Exchange PowerShell, xác thực hiệu quả kẻ tấn công và cho phép thực thi mã từ xa. Microsoft lưu ý rằng cả CVE-2021-34473 và CVE-2021-34523 đều vô tình bị bỏ sót khi xuất bản cho đến tháng 7.
ProxyLogon:
- CVE-2021-26855 – Lỗ hổng thực thi mã từ xa của Microsoft Exchange Server (Đã vá vào ngày 2 tháng 3)
- CVE-2021-26857 – Lỗ hổng thực thi mã từ xa của Microsoft Exchange Server (Đã vá vào ngày 2 tháng 3)
- CVE-2021-26858 – Lỗ hổng thực thi mã từ xa của Microsoft Exchange Server (Đã vá vào ngày 2 tháng 3)
- CVE-2021-27065 – Lỗ hổng thực thi mã từ xa của Microsoft Exchange Server (Đã vá vào ngày 2 tháng 3)
ProxyOracle:
- CVE-2021-31195 – Lỗ hổng thực thi mã từ xa của Microsoft Exchange Server (Đã vá vào ngày 11 tháng 5)
- CVE-2021-31196 – Lỗ hổng thực thi mã từ xa của máy chủ Microsoft Exchange (Đã vá vào ngày 13 tháng 7)
ProxyShell:
- CVE-2021-31207 – Bỏ qua lỗ hổng bảo mật của tính năng bảo mật máy chủ Microsoft Exchange (Bản vá vào ngày 11 tháng 5)
- CVE-2021-34473 – Lỗ hổng thực thi mã từ xa của Microsoft Exchange Server (Bản vá vào ngày 13 tháng 4, thông báo phát hành vào ngày 13 tháng 7)
- CVE-2021-34523 – Microsoft Exchange Server Nâng cao lỗ hổng đặc quyền (Đã vá vào ngày 13 tháng 4, tư vấn phát hành vào ngày 13 tháng 7)
Khác:
- CVE-2021-33768 – Microsoft Exchange Server Nâng cao lỗ hổng đặc quyền (Đã vá vào ngày 13 tháng 7)
Ban đầu được chứng minh tại Cuộc thi hack Pwn2Own tháng 4 này, chi tiết kỹ thuật của chuỗi tấn công ProxyShell đã được nhà nghiên cứu Orange Tsai của DEVCORE tiết lộ tại Mũ đen Hoa Kỳ 2021 và DEF CON hội nghị an ninh tuần trước. Để ngăn chặn các nỗ lực khai thác, các tổ chức được khuyến nghị cài đặt các bản cập nhật do Microsoft phát hành.
