ProxyShell: enorme golf van aanvallen op niet-gepatchte Exchange-servers


Sinds vrijdag van deze week (20 augustus) is er een enorme golf van aanvallen op niet-gepatchte on-premises Exchange-servers in de versies 2013 tot 2019. De aanvallen maken gebruik van de zogenaamde ProxyShell-kwetsbaarheid. Beveiligingsonderzoekers zagen binnen 48 uur de overname van meer dan 1.900 Exchange-systemen door geïnstalleerde WebShells. De CERT-Bund heeft zaterdag (21 augustus) een veiligheidswaarschuwing afgegeven.

Dat is een mislukking met een aankondiging: begin augustus 2021 presenteerde beveiligingsonderzoeker Orange Tsai nieuwe aanvalsmethoden op de on-premises Exchange-servers als onderdeel van de BlackHat 2021-hackerconferentie. Tegen het einde van de eerste week van augustus waren ze al eerste scans van internet op kwetsbare Exchange-servers bekend. door a Combinatie van drie gaten Externe aanvallen via ProxyShell-exploit zijn mogelijk op systemen die nog niet zijn gehard tegen deze kwetsbaarheden door updates en die op afstand toegankelijk zijn via internet: CVE-2021-34473 (geclassificeerd als “kritiek”), CVE-2021-34523 (ook “kritiek”) en CVE-2021-31207 (“gemiddeld”).

De Shodan-zoekmachine identificeerde wereldwijd 240.000 via internet toegankelijke Exchange-servers, waarvan 46.000 kwetsbaar zouden zijn. In Duitsland zijn ongeveer 50.000 Exchange-servers die via internet toegankelijk zijn, waarvan er meer dan 7800 kwetsbaar zijn voor een ProxyShell-exploit.

Ook de beveiligingsonderzoekers van HuntressLabs hebben de massale golf van aanvallen gevolgd en luiden de noodklok. In een blogbericht Voor augustus 2021 noemen de beveiligingsonderzoekers vijf verschillende soorten WebShells die via de ProyShell-aanvalsvector worden gebruikt op kwetsbare Microsoft Exchange-servers. De aanvallers gebruiken de WebShells om meer rechten en een achterdeur voor toegang tot het systeem te verkrijgen.

Binnen 48 uur werden meer dan 1.900 niet-gepatchte Exchange-servers met meer dan 140 WebShells geïnfecteerd via de ProxyShell-kwetsbaarheid. Exchange Server 2013, 2016 en 2019 worden getroffen, waarbij de WebShells willekeurige namen krijgen. De mensen achter de LockFile-cyberbende proberen ook kwetsbare Exchange-servers aan te vallen en te versleutelen met hun ransomware.

Beveiligingsexpert Kevin Beaumont heeft de nieuwste inzichten in: een bijdrage aan doublepulsar verzameld. Onder de bedrijven die tot nu toe zijn getroffen, vermeldt HuntressLabs bouwbedrijven, visverwerkingsbedrijven, industriële machines, autoreparatiewerkplaatsen, een kleine lokale luchthaven en andere bedrijven.

Microsoft heeft de kwetsbaarheden die werden gebruikt voor de ProxyShell-aanvallen afgesloten met beveiligingsupdates voor april 2021. Wekenlang wordt beheerders gevraagd om de on-premises Exchange-servers die ze zoeken te updaten naar de laatste patchstatus. Daarnaast moet ervoor worden gezorgd dat de Exchange-servers niet onbedoeld en onbeveiligd via internet kunnen worden benaderd.

Degenen die nog niet hebben gepatcht, kunnen al besmet zijn met een shell als achterdeur op hun Exchange-systemen. Latere patching verwijdert deze achterdeurtjes en infecties niet. hoe een? Vindt bewijs van infectie en het beveiligen van zijn systemen, zo beschreef heise Security het.

Beaumont heeft er een ProxyShell-script voor de nmap-scanner vrijgegeven die beheerders kunnen gebruiken om hun eigen Exchange-servers te testen op kwetsbaarheid voor ProxyShell-aanvallen. Bovendien heeft Florian Roth voor ProxyShell-aanvallen nieuwe Sigma-regels voor SIEMS-systeem vrijgelaten.


(tiw)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: