Експлойт кодът за доказване на концепцията беше публикуван онлайн през уикенда за активно използвана уязвимост с висока степен на сериозност, засягаща сървърите на Microsoft Exchange.
Грешката в сигурността, проследявана като CVE-2021-42321, засяга локалните Exchange Server 2016 и Exchange Server 2019 (включително тези, използвани от клиенти в хибриден режим на Exchange) и беше коригирана от Microsoft по време на корекцията във вторник този месец.
Успешната експлоатация позволява на нападатели да изпълняват код дистанционно на уязвими Exchange сървъри.
В неделя, почти две седмици след издаването на корекцията CVE-2021-42321, изследователят Janggggg публикува експлойт за доказване на концепцията за грешка в Exchange.
Администраторите предупреждават да се пачва незабавно
„Ние сме наясно с целенасочените атаки в интернет пространствотото, използващи една от уязвимостите (CVE-2021-42321), която е уязвимост в Exchange 2016 и 2019″, заявиха от Microsoft.
„Нашата препоръка е незабавно да инсталирате тези актуализации, за да защитите вашата среда“, заявиха от компанията, като призоваха администраторите на Exchange да коригират грешката.
Ако все още не сте коригирали тази уязвимост в защитата на вашите локални сървъри, можете да генерирате бърз инвентар на всички Exchange сървъри във вашата среда, които се нуждаят от актуализиране, като използвате най-новата версия на скрипта за проверка на състоянието на Exchange Server.
За да проверите дали някой от вашите уязвими Exchange сървъри вече е бил засегнат от опити за експлоатация на CVE-2021-42321, трябва да изпълните тази PowerShell заявка на всеки Exchange сървър, за да проверите за конкретни събития в дневника на събитията:
Локалните Exchange сървъри са атакувани
Администраторите на Exchange са се справили с две масивни вълни от атаки от началото на 2021 г., насочени към уязвимостите в сигурността ProxyLogon и ProxyShell.
Използването на ProxyLogon експлойти за внедряване на уеб обвивки, криптомайнери, рансъмуер и друг зловреден софтуер, започна от началото на март.
Тези атаки бяха насочени към повече от четвърт милион сървъри на Microsoft Exchange, принадлежащи на десетки хиляди организации по целия свят.
Четири месеца по-късно САЩ и ЕС, Обединеното кралство и НАТО, официално обвиниха Китай за тези широко разпространени хакерски атаки на Microsoft Exchange.
През месец Август, участниците в заплахите също започнаха да сканират и да проникват в Exchange сървъри, като използват уязвимостите на ProxyShell, след като изследователи по сигурността възпроизведоха работещ експлойт.
Въпреки че полезните натоварвания, спуснати чрез използване на ProxyShell, бяха безвредни в началото, по-късно нападателите преминаха към внедряване на полезни натоварвания на LockFile ransomware в домейни на Windows, хакнати с помощта на експлойти на Windows PetitPotam.
С тази най-нова уязвимост (CVE-2021-42321) изследователите вече виждат, че нападателите сканират и се опитват да компрометират уязвими системи.
Тъй като Microsoft Exchange се превърна в популярна цел за участниците в заплахите, силно се препоръчва да поддържате сървърите актуални с най-новите корекции за сигурност.
Повече информация: