Microsoft Exchange Diserang Dengan Cacat ProxyShell; Lebih dari 1900 Server Diretas!

  • Whatsapp
Cacat ProxyShell

Badan Keamanan Cybersecurity dan Infrastruktur AS memperingatkan upaya eksploitasi aktif yang memanfaatkan baris terbaru “ProxyShell” Kerentanan Microsoft Exchange yang ditambal awal Mei ini, termasuk menyebarkan ransomware LockFile pada sistem yang disusupi.

Dilacak sebagai CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207, kerentanan memungkinkan musuh untuk melewati kontrol ACL, meningkatkan hak istimewa pada backend Exchange PowerShell, secara efektif memungkinkan penyerang untuk melakukan eksekusi kode jarak jauh yang tidak diautentikasi. Sementara dua yang pertama ditangani oleh Microsoft pada 13 April, patch untuk CVE-2021-31207 dikirimkan sebagai bagian dari pembaruan May Patch Tuesday dari pembuat Windows.

Bacaan Lainnya

Tim Stack Overflow

“Seorang penyerang yang mengeksploitasi kerentanan ini dapat mengeksekusi kode arbitrer pada mesin yang rentan,” CISA dikatakan.

Perkembangan ini terjadi sedikit lebih dari seminggu setelah peneliti keamanan siber membunyikan alarm tentang pemindaian oportunistik dan eksploitasi server Exchange yang belum ditambal dengan memanfaatkan rantai serangan ProxyShell.

Cacat ProxyShell

Awalnya didemonstrasikan pada kontes peretasan Pwn2Own pada bulan April tahun ini, ProxyShell adalah bagian dari trio rantai eksploitasi yang lebih luas yang ditemukan oleh peneliti keamanan DEVCORE Orange Tsai yang mencakup ProxyLogon dan ProxyOracle, yang terakhir menyangkut dua kelemahan eksekusi kode jarak jauh yang dapat digunakan untuk memulihkan kata sandi pengguna dalam format teks biasa.

“Mereka adalah kotak backdooring dengan webshell yang menjatuhkan webshell lain dan juga executable yang memanggil secara berkala,” peneliti Kevin Beaumont dicatat minggu lalu.

Mencegah Pelanggaran Data

Sekarang menurut peneliti dari Huntress Labs, setidaknya lima gaya cangkang web yang berbeda telah diamati sebagai dikerahkan ke server Microsoft Exchange yang rentan, dengan lebih dari 100 insiden dilaporkan terkait dengan eksploitasi antara 17 dan 18 Agustus. Shell web memberi penyerang akses jarak jauh ke server yang disusupi, tetapi tidak jelas persis apa tujuannya atau sejauh mana semua kekurangan digunakan.

Lebih dari 140 web shell telah terdeteksi di tidak kurang dari 1.900 server Exchanger yang belum ditambal hingga saat ini, CEO Huntress Labs Kyle Hanslovan tweeted, menambahkan “dampak [organizations] sejauh ini termasuk manufaktur bangunan, pengolah makanan laut, mesin industri, bengkel mobil, bandara perumahan kecil dan banyak lagi.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *