На прошлой неделе инженеры Microsoft выпустили внеплановые патчи для четырех уязвимостей в почтовом сервере Exchange, которым исследователи дали общее название ProxyLogon (CVE-2021-26855CVE-2021-26857CVE-2021-26858 и CVE-2021-27065). По сути, эти уязвимости можно объединить в цепочку, а их эксплуатация позволит злоумышленнику пройти аутентификацию на сервере Exchange, получить права администратора, установить малварь и похитить данные.

Атаки

Как мы уже писали ранее, многие ИБ-компании предупреждали о массовых атаках на эту цепочку уязвимостей. Сначала ProxyLogon эксплуатировала только китайская хакерская группа Hafnium, но когда информация о проблемах была опубликована в широком доступе, к делу подключились и другие злоумышленники.

По информации аналитиков компании ESET, в настоящее время по меньшей мере десять хак-групп  используют ошибки ProxyLogon для установки бэкдоров на серверы Exchange по всему миру.

Хронология атак на ProxyLogon , составленная Microsoft

Хуже того, исследователи голландской некоммерческой организацией DIVD просканировали интернет в поисках уязвимых серверов Microsoft Exchange и пришли к выводу, что более 46 000 из 250 000 доступных серверов до сих пор не защищены и работают без патчей. По итогам проверки исследователи и помогающие им волонтеры постарались предупредить уязвимые компании и организации о проблемах, связавшись с местными CERT, провайдерами и представителями компаний напрямую.

Эксплоит

С момента раскрытия данных об уязвимостях на GitHub было опубликовано несколько PoC-эксплоитов, однако большинство из них оказывались обычным троллингом или не работали должным образом.

Теперь же независимый ИБ-исследователь из Вьетнама представил настоящий PoC-эксплоит, чью работоспособность уже подтвердили такие известные эксперты, как Маркус Хатчинс из Kryptos Logic, Дэниел Кард из PwnDefend и Джон Уэтингтон из Condition Black.

PoC объединяет в себе уязвимости CVE-2021–26855 и CVE-2021–27065 для аутентификации на сервере Exchange и последующего запуска вредоносного кода. Хатчинс пишет, что представленный исследователем код нельзя использовать прямо «из коробки», но его можно легко модифицировать, превратив в полноценный RCE-инструмент.

Также стоит отметить, что на днях компания Praetorian обнародовала подробный обзор уязвимостей ProxyLogin, хотя и воздержалась от публикации собственного эксплоита. Тем не менее, многие исследователи раскритиковали этот отчет, так как, по их мнению, он лишь ускорит разработку эксплоитов, что привлечет к атакам еще больше злоумышленников.

Оставить мнение