[KB7855] Beschermt ESET mij tegen de ProxyLogon en ProxyShell exploits?

Probleem

• ProxyLogon- en ProxyShell-exploits
• Deze bedreiging treft gebruikers van Microsoft Exchange Server versies 2010, 2013, 2016 en 2019
• Hafnium
• Uw ESET-beveiligingsproduct detecteert de volgende bedreiging
  • JS/Exploit.CVE-2021-26855.Webshell.A
  • JS/Exploit.CVE-2021-26855.Webshell.B
  • ASP/Webshell
  • ASP/ReGeorg
• Installeer de Microsoft beveiligingspatch
• Houd ESET LiveGrid ingeschakeld
• Minimaliseer het risico op malware-aanvallen
• WeLiveSecurity-blogbericht

Oplossing

ProxyLogon en ProxyShell exploits

Zowel ProxyLogon als ProxyShell zijn gezien en gebruikt door verschillende criminele groepen zoals Hanium of BlackByte ransomware. Beide werden ook gebruikt om Business Email Compromises (BEC) uit te voeren om kwaadaardige e-mails te versturen vanaf gecompromitteerde exchange servers.

Hoewel ESET-software deze aanval kan detecteren, moeten patches voor zowel ProxyLogon als ProxyShell worden toegepast op alle exchange-servers om het risico van uitbuiting te voorkomen.

ProxyLogon-exploit:

• CVE-2021-26855

ProxyShell-exploit:

• CVE-2021-34473
• CVE-2021-34523
• CVE-2021-31207

Microsoft beveiligingspatch

Na het uitbuiten van kwetsbaarheden om initiële toegang te krijgen, implementeren exploitanten (bijvoorbeeld HAFNIUM) webshells op de gecompromitteerde server. Met webshells kunnen aanvallers mogelijk gegevens stelen en aanvullende kwaadaardige acties uitvoeren die leiden tot verdere compromittering. Bekijk meer technische informatie en details over de aanval op HAFNIUM.

De detectie voor de webshells en backdoors die binnen deze aanvalsketen worden gebruikt, verschijnt als:

• JS/Exploit.CVE-2021-26855.Webshell.A
• JS/Exploit.CVE-2021-26855.Webshell.B
• ASP/Webshell
• ASP/ReGeorg

De Microsoft Exchange server remote code execution kwetsbaarheden zijn:

• CVE-2021-26855 (de meest voorkomende)
• CVE-2021-26857
• CVE-2021-26858
• CVE-2021-27065

Lees meer over Microsoft Exchange kwetsbaarheden ontdekt en in-the-wild uitgebuit. ESET adviseert dringend om de Microsoft beveiligingsupdate onmiddellijk te installeren.

Om het hoogste beveiligingsniveau te garanderen, raden wij u aan om altijd de laatste versie van uw ESET-product te gebruiken: Controleer voor de laatste versie van uw ESET zakelijke producten

ESET LiveGrid ingeschakeld houden

In sommige gevallen kan uw ESET-product met ESET LiveGrid ingeschakeld sneller reageren op nieuwe bedreigingen dan updates van modules.

Leer meer over ESET LiveGrid en zorg ervoor dat het ingeschakeld is in uw ESET-product.

Minimaliseer het risico op een malware-aanval

Wat kan ik doen om het risico op een malware-aanval te minimaliseren?

• Maak een back-up van uw belangrijke gegevens
• Verander geen standaardinstellingen
• Beveiligingspatches downloaden

WeLiveSecurity blogbericht

Om meer te weten te komen over hoe u uw systeem kunt beschermen tegen deze exploit, raden we u aan de volgende ESET blogpost te lezen:

• Microsoft verspreidt met spoed fixes voor vier zero-day gebreken in Exchange Server
• Exchange-servers belegerd door minstens 10 APT-groepen

Om een lijst te zien van alle ESET beveiligingsartikelen gerelateerd aan zero-day aanvallen, zie zero-day aanvallen.