Peretas Secara Aktif Mencari Server Microsoft Exchange yang Belum Ditambal

  • Whatsapp
Server Microsoft Exchange

Aktor ancaman secara aktif melakukan oportunistik pemindaian dan eksploitasi server Exchange menggunakan rantai eksploitasi baru yang memanfaatkan trio kelemahan yang memengaruhi instalasi lokal, menjadikannya kumpulan bug terbaru setelah kerentanan ProxyLogon dieksploitasi secara massal pada awal tahun.

Cacat eksekusi kode jarak jauh secara kolektif dijuluki “ProxyShell.” Setidaknya 30.000 mesin terpengaruh oleh kerentanan, Menurut ke pemindaian Shodan yang dilakukan oleh Jan Kopriva dari SANS Internet Storm Center.

Bacaan Lainnya

“Mulai melihat secara liar upaya eksploitasi terhadap infrastruktur honeypot kami untuk kerentanan Exchange ProxyShell,” Richard Warren dari NCC Group tweeted, mencatat bahwa salah satu intrusi mengakibatkan penyebaran “cangkang web C# aspx di direktori /aspnet_client/.”

Ditambal pada awal Maret 2021, ProxyLogon adalah moniker untuk CVE-2021-26855, kerentanan pemalsuan permintaan sisi server di Exchange Server yang memungkinkan penyerang untuk mengambil kendali dari server yang rentan sebagai administrator, dan yang dapat dirantai dengan post-authentication lain arbitrary-file-write kerentanan, CVE-2021-27065, untuk mencapai eksekusi kode.

Mencegah Serangan Ransomware

Kerentanan terungkap setelah Microsoft mengungkapkan rahasia pada operasi peretasan yang disponsori Beijing yang memanfaatkan kelemahan untuk menyerang entitas di AS untuk tujuan penggalian informasi dalam apa yang digambarkan perusahaan sebagai serangan terbatas dan bertarget.

Sejak itu, pembuat Windows telah memperbaiki enam kekurangan lagi dalam komponen server suratnya, dua di antaranya disebut ProxyOracle, yang memungkinkan musuh memulihkan kata sandi pengguna dalam format teks biasa.

Tiga masalah lain — yang dikenal sebagai ProxyShell — dapat disalahgunakan untuk melewati kontrol ACL, meningkatkan hak istimewa pada backend Exchange PowerShell, secara efektif mengautentikasi penyerang dan memungkinkan eksekusi kode jarak jauh. Microsoft mencatat bahwa CVE-2021-34473 dan CVE-2021-34523 secara tidak sengaja dihilangkan dari publikasi hingga Juli.

ProxyLogon:

  • CVE-2021-26855 – Kerentanan Eksekusi Kode Jarak Jauh Microsoft Exchange Server (Ditambal pada 2 Maret)
  • CVE-2021-26857 – Kerentanan Eksekusi Kode Jarak Jauh Microsoft Exchange Server (Ditambal pada 2 Maret)
  • CVE-2021-26858 – Kerentanan Eksekusi Kode Jarak Jauh Microsoft Exchange Server (Ditambal pada 2 Maret)
  • CVE-2021-27065 – Kerentanan Eksekusi Kode Jarak Jauh Microsoft Exchange Server (Ditambal pada 2 Maret)

Proksi Oracle:

  • CVE-2021-31195 – Kerentanan Eksekusi Kode Jarak Jauh Microsoft Exchange Server (Ditambal pada 11 Mei)
  • CVE-2021-31196 – Kerentanan Eksekusi Kode Jarak Jauh Microsoft Exchange Server (Ditambal pada 13 Juli)

ProxyShell:

  • CVE-2021-31207 – Kerentanan Bypass Fitur Keamanan Microsoft Exchange Server (Ditambal pada 11 Mei)
  • CVE-2021-34473 – Kerentanan Eksekusi Kode Jarak Jauh Microsoft Exchange Server (Ditambal pada 13 April, saran dirilis pada 13 Juli)
  • CVE-2021-34523 – Microsoft Exchange Server Elevation of Privilege Vulnerability (Ditambal pada 13 April, penasehat dirilis pada 13 Juli)

Lainnya:

  • CVE-2021-33768 – Peningkatan Kerentanan Privilege Server Microsoft Exchange (Ditambal pada 13 Juli)

Awalnya didemonstrasikan di kompetisi peretasan Pwn2Own April ini, detail teknis rantai serangan ProxyShell diungkapkan oleh peneliti DEVCORE Orange Tsai di Topi Hitam Amerika Serikat 2021 dan DEF CON konferensi keamanan minggu lalu. Untuk mencegah upaya eksploitasi, organisasi sangat disarankan untuk menginstal pembaruan yang dirilis oleh Microsoft.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *