Upozorňujeme na sérii závažných zranilteností postihující Microsoft Exchange Server 2013, 2016 a 2019.
Identifikátor: CVE-2021-34473, CVE-2021-34523, CVE-2021-31207
CVSS:3.0: 9.1, 9.0, 6.6
Zranitelné systémy:
Systém/program: Exchange Server 2013, 2016, 2019
Zranitelná verze: 2013 CU 23 a nižší, 2016 CU 20 a nižší, 2019 CU 9 a nižší
Opravená verze: Security update KB5003435 a vyšší
Vektor zneužítí: Síť
Složtost útoku: Nízká
Vyžadovaná oprávnění: Žádná
Vyžadovaná interakce uživatele: Ne
Popis
Upozorňujeme na sérii závažných zranilteností postihující Microsoft Exchange Server 2013, 2016 a 2019. Zranitelné jsou všechny tyto servery, které nebyly aktualizované od dubna 2021 a jsou přístupné na portu 443.
- CVE-2021-34473 - Vzdálené spuštění kódu skrze chybu ve zpracování požadavku
- CVE-2021-34523 - Eskalace oprávnění skrze chybu v Exchange PowerShell Remoting
- CVE-2021-31207 - Umožnění zápisu souboru na server a vzdálené spuštění kódu
Jednotlivé zranitelnosti již byly opraveny bezpečnostními aktualizacemi vydanými v dubnu (KB5001779 pro CVE-2021-34473 a CVE-2021-34523 ) a květnu (KB5003435 pro CVE-2021-31207). Zranitelnosti lze ovšem nově zneužít v jejich kombinaci k útoku zvaný ProxyShell, který byl v srpnu prezentován na konferenci BlackHat USA. Obdobně jako u série zranitelností ProxyLogon z března 2021 umožňuje tento útok nahrát na server webshell, přes který může útočník vzdáleně spouštět kód s nejvyšším oprávněním a zcela tak kompromitovat daný server.
Aktuálně již bylo zveřejněno několik dílčích kodů replikujících prezentovaný útok, a lze očekávat, že se následujících dnech objeví veřejně dostupné kompletní a sofistikovanější verze. Zranitelné systémy jsou aktuálně aktivně skenované a je zaznaměnána řada případů úspěšného zneužítí.
Dle vyhledávače Shodan se k 13.8.2021 zranitelnosti týkají 865 serverů v ČR.
Doporučení
Všem správcům dotčených systému doporučujeme bezodkladně nainstalovat poslední dostupné bezpečnostní aktualizace pro Exchange Server dle dokumentace Microsoft
Dále také doporučujeme prověřit indikátory potenciálního zneužítí:
- POST requesty obsahující "/PowerShell/", "/autodiscover/autodiscover.json", "/mapi/nspi/ v IIS logu
- přítomnost nelegitimních .ASPX souborů ve složce "C:\inetpub\wwwroot\aspnet_client" (dle informací často o velikost 265KB)
Vzor URL požíváné útočníky ke zneužití CVE-2021-34473. Uvedená e-mailová adresa v URL nemusí být platná a může se měnit:
hXXps://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com
Odkazy
Oficiální informace od Microsoft
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31207
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-34523
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-34473
- https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-may-11-2021-kb5003435-028bd051-b2f1-4310-8f35-c41c9ce5a2f1
Další reference
- https://docs.microsoft.com/en-us/exchange/exchange-server
- https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-scanned-for-proxyshell-vulnerability-patch-now/
- https://peterjson.medium.com/reproducing-the-proxyshell-pwn2own-exploit-49743a4ea9a1
- https://searchsecurity.techtarget.com/news/252505085/ProxyLogon-Exchange-bug-resurfaces-after-presentation
- https://www.blackhat.com/us-21/briefings/schedule/index.html#proxylogon-is-just-the-tip-of-the-iceberg-a-new-attack-surface-on-microsoft-exchange-server-23442