Volgens een waarschuwing van de V.S. Agentschap voor cyberbeveiliging en infrastructuurbeveiliging (CISA), cybercriminelen maken momenteel misbruik van de zogenaamde ProxyShell Microsoft Exchange-kwetsbaarheden: CVE-2021-34473, CVE-2021-34523, en CVE-2021-31207.
CISA waarschuwt voor proxyShell-aanvallen
Het sterk advies van het bureau is voor organisaties om kwetsbare systemen op hun netwerken te identificeren en deze te patchen via Microsoft's Beveiligingsupdate van Mei 2021.
De update lost alle drie ProxyShell-fouten op en beschermt tegen de aanvallen. Als kwetsbare systemen ongepatcht blijven, dreigingsactoren zouden de fouten kunnen misbruiken om willekeurige code-uitvoering uit te voeren.
De kwetsbaarheden werden eerder dit jaar aangetoond tijdens de Pwn2Own hackwedstrijd. In feite, de ProxyShell-exploit maakt deel uit van een uitgebreidere keten die bestaat uit ProxyLogon- en ProxyOracle-exploits.
De ProxyLogon-kwetsbaarheden
De ProxyLogon-kwetsbaarheden omvatten CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, en CVE-2021-27065. Betreffende versies zijn onder meer Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, en Microsoft Exchange Server 2019.
Om succesvol te worden geïnitieerd, een aanval vereist een niet-vertrouwde verbinding met een specifieke Exchange-serverpoort, 443. Deze maas in de wet kan worden beschermd door niet-vertrouwde verbindingen te beperken, of door een VPN in te stellen om de server te scheiden van externe toegang. Echter, deze beperkende trucs bieden slechts gedeeltelijke bescherming. Beveiligingsonderzoekers waarschuwen dat andere delen van de kettingaanval kunnen worden geactiveerd als een aanvaller al toegang heeft of een beheerder kan overtuigen om een kwaadaardig bestand uit te voeren.
De ProxyOracle-exploit
“Vergeleken met ProxyLogon, ProxyOracle is een interessante exploit met een andere benadering. Door simpelweg een gebruiker ertoe te brengen een kwaadaardige link te bezoeken, Met ProxyOracle kan een aanvaller het wachtwoord van de gebruiker volledig in platte tekst herstellen,Beveiligingsonderzoeker Orange Tsai schreef een paar maanden geleden. ProxyOracle bestaat uit twee bugs: CVE-2021-31195 en CVE-2021-31196.
In termen van de huidige aanvallen op basis van de ProxyShell-exploit:, ethische hacker Kevin Hanslovan heeft onlangs getweet dat hij “heeft gezien 140+ webshells over 1900+ niet-gepatchte dozen binnen 48 uur. Tot dusverre getroffen organisaties omvatten het bouwen van mfgs, zeevruchtenverwerkers, industriële machines, autoreparatiewerkplaatsen, een kleine residentiële luchthaven en meer.” Om het dringende advies van CISA te herhalen, organisaties moeten kwetsbare netwerken identificeren om deze aanvallen te voorkomen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: