Aktívan kihasználva: ProxyShell és ProxyToken
A Microsoft levelezőkiszolgálóinak kihasználása az elmúlt időszakban jelentősen megnőtt. Ez részben a tavasszal publikált ProxyShell sérülékenyég kihasználásból adódik, amit jelentősen növelt az augusztusi Black Hat konferencián elhangzott kihasználási koncepció ismertetése. Érintett a Microsoft levelezőszolgáltatásának három verziója az Exchange Server 2013, 2019, 2019 is. Korábban a Microsoft a védekezés megkönnyítésére kiadott egy tájékoztatást arról, miből lehet megállapítani a rendszer fertőzöttségét, illetve készült egy szkript is a rendszerek ellenőrzésére.
A ProxyToken sérülékenységgel egy nem hitelesített támadó konfigurációs parancsokat végezhet Microsoft Exchange Server felhasználói fiókjában. A támadó a sérülékenységet kihasználva másolatot szerezhet a fiókba beérkező levelekről és a kimenő levelekből is kaphat egy-egy példányt. A biztonsági rés azonosítója: CVE-2021-33766.
A Microsoft a 2021 júliusi javító keddi frissítések részeként frissítést adott ki.
Riasztást adott ki a CISA ProxyShell sérülékenységek aktív kihasználásáról. Rosszindulatú szereplők aktívan kihasználják a következő ProxyShell biztonsági réseket: CVE-2021-34473, CVE-2021-34523 és CVE-2021-31207. A biztonsági réseket kihasználó támadó tetszőleges kódot futtathat a fenti sérülékenységekben érintett informatikai eszközökön. A CISA határozottan sürgeti a szervezeteket, hogy azonosítsák a sérülékeny rendszereket, és haladéktalanul telepítsék a Microsoft biztonsági frissítését, amely kijavítja mind a három ProxyShell sérülékenységet.
Csehországban a Microsoft Exchange Server (ProxyShell) sebezhetőségeit aktívan kihasználják. A Nemzeti Kiber- és Információbiztonsági Hivatal (NUKIB) ismételt figyelmeztetést adott ki. A Shodan szerint a sérülékenységek még mindig 865 szervert érintenek Csehországban, azután, hogy egyes biztonsági réseket már kijavították az áprilisban és májusban kiadott biztonsági frissítésekkel. A biztonsági réseket azonban most ki lehet használni a ProxyShell nevű támadással kombinálva, amelyet az augusztusi BlackHat USA konferencián mutattak be.