6 марта 2021 года Microsoft запустила информационный портал об уязвимости ProxyLogon, которой подвержены сотни тысяч серверов Exchange по всему миру. В настоящее время только 10 % от работающих систем пропатчено от четырех багов, позволяющих злоумышленникам удаленно выполнять произвольный код на серверах Microsoft Exchange, где используется Outlook on the web (OWA).
Microsoft выложила на GitHub скрипт для проверки факта взлома серверов Exchange и просит системных администраторов проверить свои корпоративные почтовые сервера на взлом после недавно обнаруженной цепочки уязвимостей ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065).
Также Microsoft настоятельно рекомендует проверить вручную и установить последние обновления безопасности для серверов Microsoft Exchange. Версии серверов, которые попадали в группу повышенного риска:
- Exchange Server 2019 < 15.02.0792.010;
- Exchange Server 2019 < 15.02.0721.013;
- Exchange Server 2016 < 15.01.2106.013;
- Exchange Server 2013 < 15.00.1497.012.
В рамках недавних атак на сервера Exchange злоумышленники смогли установить во взломанных системах веб-оболочки, которые позволяли им контролировать почтовый сервер и получить доступ к внутренней сети компании.
Скрипт для проверки наличия взлома ProxyLogin от Microsoft позволяет проверить индикаторы компрометации (IOC) в логах Exchange HttpProxy и Exchange, а также в журналах событий приложений Windows.
Microsoft выложила скрипт под названием "Test-ProxyLogon.ps1" в свой репозиторий на GitHub. С его помощью можно автоматизировать в проверку почтового сервера на взлом.
Microsoft пояснила, что для проверки всех серверов Exchange в организации и сохранения журналов и логов на рабочем столе, системных аминистратор должен ввести следующую команду в Exchange Management Shell: Get-ExchangeServer | .Test-ProxyLogon.ps1 -OutPath $homedesktoplogs
.
Если необходимо проверить только локальный сервер и сохранить логи, то нужно ввести следующую команду:.Test-ProxyLogon.ps1 -OutPath $homedesktoplogs
.
Чтобы проверить только локальный сервер и отобразить результаты без их сохранения, нужно запустить следующую команду:.Test-ProxyLogon.ps1
.
Вдобавок Microsoft опубликовала еще один скрипт — "BackendCookieMitigation.ps1", который отфильтровывает запросы https, содержащие вредоносные файлы куки X-AnonResource-Backend и искаженные файлы куки X-BEResource, а также защищает от известных наблюдаемых паттернов, если система была взломана.
Это смягчение будет отфильтровывать запросы https, которые содержат вредоносные файлы cookie X-AnonResource-Backend и искаженные файлы cookie X-BEResource, которые, как было обнаружено, использовались в атаках SSRF в дикой природе. Это поможет с защитой от известных наблюдаемых паттернов, но не от SSRF в целом. Дополнительные сведения см. В комментариях вверху сценария.
Пример запуска скрипта для определения уязвимых серверов Exchange.
2 марта Microsoft сообщила о массовом использовании 0-day уязвимостей на почтовых серверах Microsoft Exchange Server с целью кражи важных данных и получения удаленного контроля. Компания оперативно опубликовала против них необходимые патчи. На первом этапе взлома злоумышленники получают доступ к серверу Microsoft Exchange Server с помощью ранее скомпрометированных учетных данных либо путем эксплуатации 0-day уязвимостей. Затем на сервере создается Web Shell для удаленного контроля, после чего продолжается развитие атаки и кража корпоративных данных.
3 марта агентство кибербезопасности и защиты инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) выпустило экстренное предупреждение о необходимости обновить программу для обмена сообщениями Microsoft Exchange Server.
5 марта Reuters сообщило, что более 30 тыс. частных компаний и государственных структур в США и около 250 тыс. компаний по всему миру пострадали в результате хакерской атаки, организованной с помощью использования уязвимостей Microsoft Exchange Server.