завантаження...

Адреса:

місто Львів, 79020, вул. Варшавська, 193

Дослідники з компанії «Huntress Labs» надали статистику: за останні дні близько 2000 поштових серверів Microsoft Exchange були зламані і заражені бекдор. А чому? Бо їхні власники не встановили захист від «ProxyShell».

Що таке «ProxyShell»?

Нагадаємо, що про ці вразливості, які отримали загальну назву «ProxyShell», на початку серпня розповіли на конференції Black Hat. «ProxyShell» – це об’єднання трьох вразливостей, які дозволяють домогтися віддаленого виконання коду без аутентифікації на серверах Microsoft Exchange. Ці уразливості експлуатують Microsoft Exchange Client Access Service (CAS), який працює на порту 443.

  • CVE-2021-34473: Path Confusion без аутентифікації, що веде до обходу ACL (виправлено в квітні в KB5001779);
  • CVE-2021-34523: підвищення привілеїв в Exchange PowerShell Backend (виправлено в квітні в KB5001779);
  • CVE-2021-31207: запис довільних файлів після аутентифікації, що веде до віддаленого виконання коду (виправлено в травні в KB5003435).

Експлойт для «ProxyShell» був використаний під час хакерського конкурсу «Pwn2Own 2021» у квітні цього ж року. Тоді успішна компрометація сервера принесла дослідникам 200 000 доларів.

Хоча Microsoft виправила недолік вразливості, чомусь не всі адміністратори встановили ці патчі вчасно.

Так, сканування, проведене 8 серпня фахівцями ISC SANS, показало, що більше 30 400 серверів Exchange все ще вразливі до атак. Ба більше! Трохи згодом на відомому хакерському форумі був опублікований список усіх 100 000 доступних через інтернет серверів Exchange, що спростило завдання зловмисникам.

Дослідники попереджали про те, що почалися сканування, які шукають вразливі серверів і пробують їх виводити із ладу.

Минулого тижня ці атаки стали частішими. Окрім того, помітили вимагач «LockFile», який уже почав застосовувати експлойт для «ProxyShell». Зрозуміло для чого: щоб проникнути в корпоративну мережу.

Як тепер повідомляють дослідники «Huntress Labs», які вивчили сервери Microsoft Exchange, зламані за допомогою «ProxyShell», вони знайшли понад 140 різних веб-шелів більш ніж на 1900 зламаних серверах Exchange.

Хто постраждав?

Станом на сьогодні від атак постраждало чимало компаній. Зокрема – це і будівельні підприємства, і переробники морепродуктів, і автомайстерні, невеликий аеропорт і багато інших.

відкрив чорний портативний комп’ютер