Laut einer von den USA veröffentlichten Warnung. Agentur für Cybersicherheit und Infrastruktursicherheit (CISA), Cyberkriminelle nutzen derzeit die sogenannten ProxyShell Microsoft Exchange-Schwachstellen aus: CVE-2021-34473, CVE-2021-34523, und CVE-2021-31207.
CISA warnt vor ProxyShell-Angriffen
Die Der starke Rat der Agentur ist für Organisationen, anfällige Systeme in ihren Netzwerken zu identifizieren und sie über das Sicherheitsupdate von Microsoft von . zu patchen Mai 2021.
Das Update behebt alle drei ProxyShell-Fehler und schützt vor den Angriffen. Wenn anfällige Systeme ungepatcht bleiben, Bedrohungsakteure könnten die Fehler ausnutzen, um die Ausführung willkürlichen Codes durchzuführen.
Die Schwachstellen wurden Anfang des Jahres während des Pwn2Own-Hacking-Wettbewerbs demonstriert. Tatsächlich, der ProxyShell-Exploit ist Teil einer umfangreicheren Kette bestehend aus ProxyLogon- und ProxyOracle-Exploits.
Die ProxyLogon-Sicherheitslücken
Die ProxyLogon-Schwachstellen enthalten CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, und CVE-2021-27065. Betroffene Versionen sind Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, und Microsoft Exchange Server 2019.
Erfolgreich initiiert werden, Ein Angriff erfordert eine nicht vertrauenswürdige Verbindung zu einem bestimmten Exchange-Server-Port, 443. Diese Lücke kann durch Einschränkung der nicht vertrauenswürdigen Verbindung geschützt werden, oder indem Sie ein VPN einrichten, um den Server vom externen Zugriff zu trennen. Jedoch, Diese Abschwächungstricks bieten nur einen teilweisen Schutz. Sicherheitsforscher warnen davor, dass andere Teile des Kettenangriffs ausgelöst werden können, wenn ein Angreifer bereits Zugriff hat oder einen Administrator davon überzeugen kann, eine schädliche Datei auszuführen.
Der ProxyOracle-Exploit
„Im Vergleich zu ProxyLogon, ProxyOracle ist ein interessanter Exploit mit einem anderen Ansatz. Indem Sie einen Benutzer einfach dazu bringen, einen bösartigen Link zu besuchen, Mit ProxyOracle kann ein Angreifer das Passwort des Benutzers vollständig im Klartextformat wiederherstellen,“ Sicherheitsforscher Orange Tsai schrieb vor ein paar Monaten. ProxyOracle besteht aus zwei Fehlern: CVE-2021-31195 und CVE-2021-31196.
Zu den aktuellen Angriffen auf Basis des ProxyShell-Exploits, Ethischer Hacker Kevin Hanslovan hat kürzlich getwittert, dass er “hat gesehen 140+ webshells quer 1900+ ungepatchte Boxen in 48 Stunden. Bisher betroffene Organisationen umfassen das Erstellen von MFGs, Verarbeiter von Meeresfrüchten, industrielle Maschinen, Autowerkstätten, ein kleiner Wohnflughafen und mehr.” Um den dringenden Rat des CISA zu wiederholen, Organisationen sollten anfällige Netzwerke identifizieren, um diese Angriffe zu vermeiden.