Tehdit aktörleri artık Microsoft Exchange Proxyshell uzaktan kod yürütme güvenlik açıkları için Microsoft Exchange Proxyshell uzaktan kod yürütme güvenlik açıkları için siyah şapka konferansında serbest bırakıldı.
Bu güvenlik açıklarının aktif taramasına ulaşmadan önce, nasıl açıklandıklarını anlamak önemlidir.
Proxyshell, birlikte zincirlendiğinde Microsoft Exchange Sunucularında Etkinleştirilmemiş, Uzak Kod Yürütme'yi gerçekleştiren üç güvenlik açıkının adıdır.
Bu zincirleme güvenlik açıkları, IIS'de 443 numaralı bağlantı noktasında çalışan Microsoft Exchange'in istemci erişim hizmeti (CAS) üzerinden uzaktan sömürülür.
Proxyshell saldırılarında kullanılan üç zincirleme açıklığı:
Garip bir şekilde, hem CVE-2021-34473 hem de CVE-2021-34523 iken Temmuz ayında açıklandı, aslında Nisan ayının Microsoft Exchange KB5001779 kümülatif güncellemesinde sessizce yamalandı.
Güvenlik açıkları, Ekibi Nisan ayının PWN2own 2021 Hack Yarışması'nda kullanımları için 200.000 dolarlık bir ödül almış olan Devcore Prensip Güvenlik Araştırmacı Orange Tsai tarafından keşfedildi.
Perşembe günü, Orange Tsai, Microsoft Exchange Client Access Hizmeti (CAS) saldırı yüzeyini hedef alarken keşfettiği son Microsoft Exchange güvenlik açıkları hakkında siyah bir şapka konuştu.
Konuşmanın bir parçası olarak, Tsai, Proxyshell Attack zincirinin bileşenlerinden birinin Microsoft Exchange Autodiscover servisini hedeflediğini açıkladı.
Microsoft, AutoDiscover hizmeti, posta istemcisi yazılımının kendisini kullanıcıdan en az giriş ile otomatik olarak yapılandırmasını sağlamak için kolay bir yol sunmak için tanıttı.
Tai Tsai'nin konuştuğunu izledikten sonra, Güvenlik Araştırmacıları Peterjson ve Jang, Proxyshell Exploit'i nasıl başarılı bir şekilde yeniden üretebilecekleri hakkında teknik bilgi sağlayan bir makale yayınladı.
Bu hafta, güvenlik araştırmacısı Kevin Beaumont, bir tehdit aktörünün Microsoft Exchange Honeypot'u sunucunun AutoDiscover servisine karşı araştırdığını tweetled.
Exchange Sunucuları ile Mailpot'ta farkettiğim ilginç şey - Biri Autodiscover.json, bir algılama önleme ve nispeten belgelenmemiş özellik kullanarak onları hedeflemeye başladı. pic.twitter.com/moutaooql2
Bu ilk girişimler başarısız olsa da, dün gece, güvenlik açığı ile ilgili daha fazla ayrıntı yapıldıktan sonra, saldırganlar, Tsai'nin kaydıraklarında açıklanan yeni Autodiscover URL'sini kullanmak için taramalarını değiştirdi.
Yeni URL'yi kullanma, tehdit aktörlerinin, ASP.NET Web uygulamasının derlenmesini tetiklediği için savunmasız bir sistemi başarıyla algılayabildiği görülmektedir.
Jang, URL'ye erişmenin ASP.NET çalışanı işleminin (W3WP.EXE EXE) 'nin ASP.NET çalışanı işleminin (W3WP.EXE EXE)' nin bir web uygulamasını, aşağıdaki resimde gösterildiği gibi bir web uygulamasına neden olduğunu söyledi.
Artık tehdit aktörleri, savunmasız Microsoft Exchange sunucularını aktif olarak taradığından, Beaumont, yöneticilerin "/autodiscover/autodiscover.json" veya "/ mapi / nspi /" dizeleri için IIS günlüklerini kontrol etmek için Azure Sentinel'i kullanmalarını tavsiye eder.
Sonuçlar Hedeflenen Autodiscover URL'sini listelerse, tehdit aktörleri sunucunuzu güvenlik açığı için taradı.
Tehdit aktörleri, şu ana kadar az bir başarı ile bu güvenlik açığını aktif olarak kullanmaya çalışıyor. Ancak, vahşi doğada başarılı bir şekilde sömürü elde edilinceye kadar sadece bir zaman meselesidir.
Microsoft Exchange Admins'in en son kümülatif güncellemeleri yüklemesi, bu güvenlik açıklarından korunmaları şiddetle tavsiye edilir.
CVE-2021-34473, geçen ay ilan edildi (ancak Nisan ayında yama mevcut). Bununla birlikte, internet açığa çıkan kutuların yaklaşık% 50'si henüz yamalı değildir.
Proxyshell güvenlik açıklarından oluşan yamalar daha önce serbest bırakıldıkça, saldırılar Mart ayında gördüğümüz proxylogon saldırıları kadar uzakta olmamalıdır, bu da maruz kalan sunucularda fidye yazılımı, kötü amaçlı yazılım ve veri hırsızlığına yol açtı.
Bununla birlikte, Tsai şu anda internette maruz kalan 400.000 Microsoft Exchange sunucusu olduğunu belirtti, bu yüzden başarılı bir saldırı olacak şekilde bağlı.
BleepingComputer, Microsoft'a bu aktivite ile iletişim kurdu, ancak şu anda geri dönmedi.
Cisco: Firewall Manager RCE Hata, sıfır gündür, yama gelen
Kritik CloudFlare CDN Kusuruna, tüm sitelerin% 12'sinden ödün verildi
Yeni Windows 10 Güvenlik Açığı, kimsenin yönetici ayrıcalıklarını almasını sağlar
Çince bilgisayar korsanları, hedeflenen saldırılarda sıfır gün yeni Solarwinds kullanıyor
Solarwinds, vahşi doğada sömürülen kritik serv-u güvenlik açığını yamalar
Kaynak: Bleeping Computer