Chyby zabezpečení ProxyShell v Microsoft Exchange

Útočníci aktivně skenují a využívají zranitelnosti serverů Microsoft Exchange, které nepoužily opravy zabezpečení vydané na začátku tohoto roku. ProxyShell, název pro kolekci chyb zabezpečení pro servery Microsoft Exchange, umožňuje útočníkům obejít ověřování a spouštět kód jako privilegovaný uživatel.

ProxyShell obsahuje tři samostatné chyby zabezpečení používané jako součást jednoho útoku:

  • CVE-2021-34473 – Chyba zabezpečení záměny cesty před ověřením pro obejití řízení přístupu. Opraveno v KB5001779, vydáno v dubnu.
  • CVE-2021-34523 – Chyba zabezpečení zvýšení oprávnění v backendu Exchange PowerShell. Opraveno v KB5001779, vydáno v dubnu.
  • CVE-2021-31207 -vzdálené spuštění kódu post-auth prostřednictvím zápisu libovolného souboru. Opraveno v KB5003435, vydáno v květnu.

Další informace a co dělat:

Pokud používáte server Microsoft Exchange:

  1. Ujistěte se, že jste použili aktualizace zabezpečení z července 2021 pro Microsoft Exchange
  2. (Platí pouze pro zákazníky, kteří nemají Sophos MTR) Identifikujte a prozkoumejte svá expoziční okna pro kontroverzní aktivitu
    • Identifikujte a odstraňujte webové skořepiny a škodlivé binární soubory
    • Zkontrolujte aktivitu procesu pro instance w3wp.exe
    • Identifikujte a odstraňte veškerou perzistenci zavedenou aktérem

Více informací a detekce společnosti Sophos naleznete v článku výrobce:

ProxyShell vulnerabilities in Microsoft Exchange: What to do

Dárek pro odběratele newsletteru

Průvodce kybernetickou prevencí

Zjistěte, jak díky několika základním radám můžete zvýšit úroveň vašeho zabezpečení a ochránit data proti nejpokročilejších hrozbám.

Novinky ze světa kyberbezpečnosti na váš e-mail

Co je nového v oblasti IT security? Buďte v obraze. Jednou měsíčně vám pošleme to nejzajímavější o bezpečnosti firemních sítí a dat.

Přihlaste se k odběru newsletteru, ať vám neuniknou žádné tipy v oblasti kyberbezpečnosti. Jako dárek dostanete e-book.