Upozorňujeme na závažné zero-day zranitelnosti postihující Microsoft Exchange Server (CVE-2021-42321) a Microsoft Excel (CVE-2021-42292) oznámené v rámci aktualizací Microsoft Patch Tuesday ze dne 9.11.
Poštovní servery jsou pro útočníky lákavým cílem nejen pro samotné informace v e-mailových schránkách, ale jsou i lákavým nástrojem k dalšímu šíření malwaru nebo průniku do sítě organizace. Tyto zranitelnosti tedy představují vysoké riziko zejména v jejich kombinaci, kdy dojde ke kompromitaci uživatelského účtu pomocí phishingu, který obsahuje závadný dokument Excel a následnému zneužití tohoto účtu ke kompromitaci celého serveru.
CVE-2021-42292
Produkty: Microsoft Office 2013, 2016, 2019, LTSC, Microsoft 365 ve verzích pro Windows i Mac
Security advisory: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-42292
Zranitelnost v Microsoft Excel pro Windows a Mac, která způsobuje spuštění škodlivého kódu při pouhém otevření speciálně upraveného Excel dokumentu. Aktualizace je k dispozici v rámci MS Office pro Windows, oprava pro Mac OS je očekávána v nejbližších dnech.
CVE-2021–42321
Produkty: Exchange Server 2016 a 2019
Security advisory: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42321
Zranitelnost Exchange Server, která umožnuje vzdálené spuštění kódu na serveru, pokud k němu útočník získá přístup pod libovolným účtem (např. zjištěním hesla po úspěšném phishingovém útoku). Ke zranitelnosti byl již zveřejněn proof-of-concept, dle informací společnosti Microsoft je v současné době zranitelnost aktivně zneužívaná a lze očekávat nárůst případů. Po ProxyLogon a ProxyShell se za letošní rok jedná o třetí vážnou zranitelnost Exchange Serveru umožňující vzdálenou kompromitaci.
Kontrolu, zda byl server kompromitován zranitelností CVE-2021–42321, lze provést pomocí Powershell příkazu:
"Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*"}
V případě pozitivního nálezu doporučujeme neprodleně zahájit podrobnou analýzu serveru a propojeného prostředí.
Všem provozovatelům doporučujeme bezodkladnou instalaci bezpečnostních aktualizací. Na prioritní aktualizaci apelujeme zejména v případě, pokud server dosud nebyl aktualizován na poslední kumulativní update opravující i předchozí zranitelnosti (tzv. Proxyshell), které jsou taktéž stále aktivně zneužívané.
Více informací a instrukce k aktualizaci Exchange Server nalezte na na stránkách společnosti Microsoft: https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-november-9-2021-kb5007409-7e1f235a-d41b-4a76-bcc4-3db90cd161e7
Odkazy:
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-42292
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42321
- https://www.bleepingcomputer.com/news/microsoft/microsoft-urges-exchange-admins-to-patch-bug-exploited-in-the-wild/
- https://www.tenable.com/blog/microsoft-s-november-2021-patch-tuesday-addresses-55-cves-cve-2021-42321
- https://www.helpnetsecurity.com/2021/11/09/cve-2021-42321-cve-2021-42292/