Problemstilling
- ProxyLogon- og ProxyShell-utnyttelse
- Denne trusselen påvirker brukere av Microsoft Exchange Server versjon 2010, 2013, 2016 og 2019
- Hafnium
- ESET-sikkerhetsproduktet ditt oppdager følgende trussel
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
- Installer sikkerhetsoppdateringen fra Microsoft
- Hold ESET LiveGrid aktivert
- Minimer risikoen for angrep fra skadelig programvare
- Blogginnlegg fra WeLiveSecurity
Løsning
ProxyLogon og ProxyShell utnytter
Både ProxyLogon og ProxyShell har blitt sett og brukt av forskjellige kriminelle grupper som Hanium eller BlackByte ransomware. Begge ble også brukt til å utføre Business Email Compromises (BEC) for å sende ondsinnede e-poster fra kompromitterte Exchange-servere.
ESET-programvaren kan oppdage dette angrepet, men oppdateringer for både ProxyLogon og ProxyShell bør brukes på alle Exchange-servere for å forhindre risikoen for utnyttelse.
ProxyLogon-utnyttelse:
ProxyShell-utnyttelse:
Microsofts sikkerhetsoppdatering
Etter å ha utnyttet sårbarheter for å få tilgang, distribuerer operatører (for eksempel HAFNIUM) webskjell på den kompromitterte serveren. Webskall gjør det potensielt mulig for angripere å stjele data og utføre flere ondsinnede handlinger som fører til ytterligere kompromittering. Se mer teknisk informasjon og angrepsdetaljer om HAFNIUM.
Deteksjonen for webskallene og bakdørene som brukes i denne angrepskjeden, vises som:
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
Sårbarhetene for ekstern kjøring av kode på Microsoft Exchange-serveren er:
- CVE-2021-26855 (den vanligste)
- CVE-2021-26857
- CVE-2021-26858
- CVE-2021-27065
Les mer om Microsoft Exchange-sårbarheter oppdaget og utnyttet in-the-wild. ESET anbefaler på det sterkeste at du installerer Microsofts sikkerhetsoppdatering umiddelbart.
For å sikre det høyeste sikkerhetsnivået anbefaler vi at du alltid bruker den nyeste versjonen av ESET-produktet ditt: Se etter den nyeste versjonen av dine ESET Business-produkter
Hold ESET LiveGrid aktivert
I noen tilfeller kan ESET-produktet ditt med ESET LiveGrid aktivert reagere raskere på nye trusler enn moduloppdateringer.
Lær mer om ESET LiveGrid og sørg for at det er aktivert i ESET-produktet ditt.
Minimer risikoen for angrep fra skadelig programvare
Hva kan jeg gjøre for å minimere risikoen for et angrep fra skadelig programvare?
- Ta sikkerhetskopi av viktige data
- Ikke endre standardinnstillingene
- Last ned sikkerhetsoppdateringer
Blogginnlegg fra WeLiveSecurity
Hvis du vil vite mer om hvordan du kan beskytte systemet ditt mot denne utnyttelsen, anbefaler vi at du leser følgende ESET-blogginnlegg:
- Microsoft lanserer raskt rettelser for fire nulldagsfeil i Exchange Server
- Exchange-servere under beleiring fra minst 10 APT-grupper
For å se en liste over alle ESET-sikkerhetsartikler relatert til nulldagsangrep, se nulldagsangrep.
