Microsoft опубликовала скрипт для проверки серверов Exchange на уязвимость ProxyLogon

Discussion in 'Мировые новости. Обсуждения.' started by alexzir, 8 Mar 2021.

  1. alexzir

    alexzir Well-Known Member

    Joined:
    29 Oct 2019
    Messages:
    388
    Likes Received:
    1,482
    Reputations:
    21
    6 марта 2021 года Microsoft выложила на GitHub скрипт для проверки факта взлома серверов Exchange и просит системных администраторов проверить свои корпоративные почтовые сервера на взлом после недавно обнаруженной цепочки уязвимостей ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065).

    В настоящее время только 10 % от работающих систем пропатчено от этих четырех багов, позволяющих злоумышленникам удаленно выполнять произвольный код на серверах Microsoft Exchange, где используется Outlook on the web (OWA).

    Microsoft настоятельно рекомендует проверить вручную и установить последние обновления безопасности для серверов Microsoft Exchange. Версии серверов, которые попадали в группу повышенного риска:
    • Exchange Server 2019 < 15.02.0792.010;
    • Exchange Server 2019 < 15.02.0721.013;
    • Exchange Server 2016 < 15.01.2106.013;
    • Exchange Server 2013 < 15.00.1497.012.
    Команда разработчиков DEVCORE, специалисты которой первыми обнаружили проблемы, запустила информационный портал об уязвимости ProxyLogon, которой в итоге оказались подвержены сотни тысяч серверов Exchange по всему миру.

    В рамках недавних атак на сервера Exchange злоумышленники смогли установить во взломанных системах веб-оболочки, которые позволяли им контролировать почтовый сервер и получить доступ к внутренней сети компании.

    Скрипт для автоматической проверки наличия взлома ProxyLogin от Microsoft позволяет проверить индикаторы компрометации (IOC) в логах Exchange HttpProxy и Exchange, а также в журналах событий приложений Windows. Ранее были доступны отдельные команды для понимания проблемы.

    Microsoft выложила скрипт под названием "Test-ProxyLogon.ps1" в свой репозиторий на GitHub. С его помощью можно автоматизировать проверку почтового сервера на взлом.

    Microsoft пояснила, что для проверки всех серверов Exchange в организации и сохранения журналов и логов на рабочем столе, системный администратор должен ввести следующую команду в Exchange Management Shell: Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs.

    Если необходимо проверить только локальный сервер и сохранить логи, то нужно ввести следующую команду:.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs.

    Чтобы проверить только локальный сервер и отобразить результаты без их сохранения, нужно запустить следующую команду:.\Test-ProxyLogon.ps1.

    Вдобавок Microsoft опубликовала еще один скрипт — "BackendCookieMitigation.ps1", который отфильтровывает https-запросы, содержащие вредоносные файлы куки X-AnonResource-Backend и искаженные файлы куки X-BEResource, а также защищает от известных наблюдаемых паттернов, если система была взломана.

    Это смягчение будет отфильтровывать запросы https, которые содержат вредоносные файлы cookie X-AnonResource-Backend и искаженные файлы cookie X-BEResource, которые, как было обнаружено, использовались в атаках SSRF в дикой природе. Это поможет с защитой от известных наблюдаемых паттернов, но не от SSRF в целом.

    «В России атаковано уже около 40 компаний. Данные уязвимости позволяют злоумышленникам получить доступ к любым почтовым аккаунтам на Microsoft Exchange Server, а также установить на нём вредоносное программное обеспечение, чтобы закрепиться на уязвимой машине или в дальнейшем в сети», — сказано в заявлении «Лаборатории Касперского» изданию «Интерфакс».

    Национальный координационный центр по компьютерным инцидентам России (НКЦКИ, создан ФСБ) выпустил специальные рекомендации для руководителей и владельцев объектов критической информационной инфраструктуры РФ о необходимости незамедлительного обновления обновить Microsoft Exchange Server.

    2 марта Microsoft сообщила о массовом использовании 0-day уязвимостей на почтовых серверах Microsoft Exchange Server с целью кражи важных данных и получения удаленного контроля. Компания оперативно опубликовала против них необходимые патчи. На первом этапе взлома злоумышленники получают доступ к серверу Microsoft Exchange Server с помощью ранее скомпрометированных учетных данных либо путем эксплуатации 0-day уязвимостей. Затем на сервере создается Web Shell для удаленного контроля, после чего продолжается развитие атаки и кража корпоративных данных.

    3 марта агентство кибербезопасности и защиты инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) выпустило экстренное предупреждение о необходимости обновить программу для обмена сообщениями Microsoft Exchange Server.

    5 марта Reuters сообщило, что более 30 тыс. частных компаний и государственных структур в США и около 250 тыс. компаний по всему миру пострадали в результате хакерской атаки, организованной с помощью использования уязвимостей Microsoft Exchange Server.

    Хабр
    https://safezone.cc/threads/microso...erov-exchange-na-ujazvimost-proxylogon.38123/
    https://www.bleepingcomputer.com/ne...checks-exchange-servers-for-proxylogon-hacks/
    https://www.bleepingcomputer.com/ne...inds-web-shells-from-exchange-server-attacks/
     
    user100 likes this.
Loading...