[KB7855] Beskytter ESET mig mod ProxyLogon- og ProxyShell-exploits?

Problemstilling

• ProxyLogon- og ProxyShell-udnyttelse
• Denne trussel påvirker brugere af Microsoft Exchange Server version 2010, 2013, 2016 og 2019
• Hafnium
• Dit ESET-sikkerhedsprodukt registrerer følgende trussel
  • JS/Exploit.CVE-2021-26855.Webshell.A
  • JS/Exploit.CVE-2021-26855.Webshell.B
  • ASP/Webshell
  • ASP/ReGeorg
• Installer Microsofts sikkerhedsopdatering
• Hold ESET LiveGrid aktiveret
• Minimer risikoen for malware-angreb
• WeLiveSecurity blogindlæg

Løsning

ProxyLogon- og ProxyShell-udnyttelse

Både ProxyLogon og ProxyShell er blevet set og brugt af forskellige kriminelle grupper som Hanium eller BlackByte ransomware. Begge blev også brugt til at udføre Business Email Compromises (BEC) for at sende ondsindede e-mails fra kompromitterede exchange-servere.

Mens ESET-software kan opdage dette angreb, bør patches til både ProxyLogon og ProxyShell anvendes på alle exchange-servere for at forhindre risikoen for udnyttelse.

ProxyLogon-udnyttelse:

• CVE-2021-26855

ProxyShell-udnyttelse:

• CVE-2021-34473
• CVE-2021-34523
• CVE-2021-31207

Microsofts sikkerhedsopdatering

Efter at have udnyttet sårbarheder til at få indledende adgang, implementerer operatører (f.eks. HAFNIUM) webshells på den kompromitterede server. Webshells giver potentielt angribere mulighed for at stjæle data og udføre yderligere ondsindede handlinger, der fører til yderligere kompromittering. Se mere teknisk information og angrebsdetaljer om HAFNIUM.

Registreringen af de webshells og bagdøre, der bruges i denne angrebskæde, vises som:

• JS/Exploit.CVE-2021-26855.Webshell.A
• JS/Exploit.CVE-2021-26855.Webshell.B
• ASP/Webshell
• ASP/ReGeorg

Sårbarhederne i Microsoft Exchange-serveren til fjernudførelse af kode er:

• CVE-2021-26855 (den mest almindelige)
• CVE-2021-26857
• CVE-2021-26858
• CVE-2021-27065

Læs mere om Microsoft Exchange sårbarheder opdaget og udnyttet in-the-wild. ESET anbefaler på det kraftigste, at man installerer Microsofts sikkerhedsopdatering med det samme.

For at sikre det højeste sikkerhedsniveau anbefaler vi, at du altid er på den nyeste version af dit ESET-produkt: Se efter den nyeste version af dine ESET-forretningsprodukter

Hold ESET LiveGrid aktiveret

I nogle tilfælde kan dit ESET-produkt med ESET LiveGrid aktiveret reagere hurtigere på nye trusler end modulopdateringer.

Få mere at vide om ESET LiveGrid, og sørg for, at det er aktiveret i dit ESET-produkt.

Minimer risikoen for malware-angreb

Hvad kan jeg gøre for at minimere risikoen for et malware-angreb?

• Tag backup af dine vigtige data
• Lad være med at ændre standardindstillinger
• Download sikkerhedsopdateringer

Blogindlæg fra WeLiveSecurity

Hvis du vil vide mere om, hvordan du kan beskytte dit system mod denne udnyttelse, anbefaler vi, at du læser følgende ESET-blogindlæg:

• Microsoft udsender hurtigt rettelser til fire zero-day-fejl i Exchange Server
• Exchange-servere under belejring fra mindst 10 APT-grupper

For at se en liste over alle ESET-sikkerhedsartikler relateret til zero-day-angreb, se zero-day-angreb.