A falha começou a ser explorada de forma mais ativa a partir do momento que os detalhes técnicos foram discutidas na Black Hat deste ano.
A ProxyShell é uma falha que representa o conjunto de três vulnerabilidades que podem ser preenchidas por um atacante não autenticado e de forma remota para conseguir execução de código remota.
CVE-2021-34473 – Pre-auth Path Confusion leva à ultrapassagem da ACL (Corrigida em abril pela KB5001779)
CVE-2021-34523 – Elevação de privilégio no Backend do Exchange Powershell (Corrigida em em abril pela KB5001779)
CVE-2021-31207 – Escrita de ficheiros Post-auth para RCE (Corrigida em maio pela KB5003435)
Particular atenção nos logs para a string "/autodiscover/autodiscover.json" ou "/mapi/nspi/", que são um forte indicador de que os servidore estão sobre ataque
Solução
Instalar as atualizações de acordo com o guia oficial da microsoft
Mais informações: https://www.securityweek.com/internet-scanned-microsoft-exchange-servers-vulnerable-proxyshell-attacks
Blogue oficial da Microsoft com as atualizações: https://docs.microsoft.com/en-us/exchange/plan-and-deploy/install-cumulative-updates?view=exchserver-2019
Comments