www.belgium.be Logo of the federal government

Microsoft Exchange servers actief gescand op ProxyShell kwetsbaarheid

Referentie: 
Advisory #2021-015
Versie: 
1.0
Geïmpacteerde software: 
Microsoft Exchange's Client Access Service (CAS)
Type: 
Unauthenticated Remote Code Execution
CVE/CVSS: 
  1. CVE-2021-34473: Pre-auth Path Confusion leidt tot ACL Bypass (in april gepatcht door KB5001779)
  2. CVE-2021-34523: Elevation of Privilege op de Exchange PowerShell Backend (in april gepatcht door KB5001779)
  3. CVE-2021-31207: Post-auth Arbitrary-File-Write leidt tot RCE (in mei gepatcht door KB5003435)
  4. CVE-2021-31206: Microsoft Exchange Server Remote Code Execution kwetsbaarheid(in juli gepatcht door KB5004780)

Bronnen

https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-scanned-for-proxyshell-vulnerability-patch-now/

https://peterjson.medium.com/reproducing-the-proxyshell-pwn2own-exploit-49743a4ea9a1 (Proof-Of-Concept)

Risico’s

ProxyShell is een keten van drie kwetsbaarheden die, wanneer zij door een aanvaller worden gebruikt, het mogelijk maken om unauthenticated remote codes uit te voeren op de kwetsbare Microsoft Exchange Server. Succesvolle exploitatie kan resulteren in een overname van de server en een omvangrijke impact hebben op de hele CIA-triade (Confidentiality, Integrity, Availability), afhankelijk van wat de aanvaller na de exploitatie doet.

Beschrijving

De ProxyShell-aanval ketent drie kwetsbaarheden (soms wel vier) om Unauthenticated Remote Code uit te voeren op Microsoft exchange Servers;

  1. CVE-2021-34473: Pre-auth Path Confusion leidt tot ACL Bypass (in april gepatcht door KB5001779)
  2. CVE-2021-34523: Elevation of Privilege op de Exchange PowerShell Backend (in april gepatcht door KB5001779)
  3. CVE-2021-31207: Post-auth Arbitrary-File-Write leidt tot RCE (in mei gepatcht door KB5003435)
  4. CVE-2021-31206: Microsoft Exchange Server Remote Code Execution kwetsbaarheid(in juli gepatcht door KB5004780)

ProxyShell richt zich specifiek op de 'Microsoft Exchange Autodiscover' service. Deze werd geïmplementeerd als een gemakkelijke manier voor mail client software om toegang automatisch te configureren met minimale gebruikersinput.

Op 6 augustus hebben aanvallers hun scans aangepast om een 'nieuwe' Autodiscover URL te gebruiken;

https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com

Met behulp van deze techniek slaagden de aanvallers erin kwetsbare systemen op te sporen, aangezien het de compilatie van de ASP.NET-webtoepassing in gang zet.

Aanbevolen acties

CERT.be raadt aan de laatste cumulative updates te installeren, zodat systemen tegen deze kwetsbaarheden worden beschermd en het risico op exploitatie wordt beperkt.

Als dit niet mogelijk is vanwege de Exchange versie of afhankelijkheden, raadpleeg dan de CVE en hun respectievelijke KB update guides.

Controleren op scanactiviteit

Exchange Server beheerders wordt aangeraden om Azure Sentinel te gebruiken, indien beschikbaar, om IIS logs te controleren op de "/autodiscover/autodiscover.json" of "/mapi/nspi/" strings.

W3CIISLog
| where csUriStem == "/autodiscover/autodiscover.json"
| where csUriQuery has "/mapi/nspi/"

Als de beoogde Autodiscover URL wordt geretourneerd, is de server waarschijnlijk gescand op de kwetsbaarheid.