[KB7855] Чи захищає ESET від експлойтів ProxyLogon і ProxyShell?

Проблема

• Експлойти ProxyLogon та ProxyShell
• Ця загроза впливає на користувачів Microsoft Exchange Server версій 2010, 2013, 2016 та 2019
• Hafnium
• Ваш продукт безпеки ESET виявляє таку загрозу
  • JS/Exploit.CVE-2021-26855.Webshell.A
  • JS/Exploit.CVE-2021-26855.Webshell.B
  • ASP/Webshell
  • ASP/ReGeorg
• Інсталюйте патч безпеки від Microsoft
• Тримайте ESET LiveGrid увімкненим
• Мінімізуйте ризик атаки шкідливого програмного забезпечення
• Стаття в блозі WeLiveSecurity

Рішення

Експлойти ProxyLogon і ProxyShell

І ProxyLogon, і ProxyShell були помічені і використовувалися різними злочинними групами, такими як Hanium або BlackByte ransomware. Обидва вони також використовувалися для здійснення бізнес-компрометації електронної пошти (Business Email Compromises, BEC) для надсилання шкідливих електронних листів зі скомпрометованих поштових серверів.

Хоча програмне забезпечення ESET може виявити цю атаку, виправлення для ProxyLogon і ProxyShell повинні бути встановлені на всіх обмінних серверах, щоб запобігти ризику експлуатації.

Експлойт ProxyLogon:

• CVE-2021-26855

Експлойт в ProxyShell:

• CVE-2021-34473
• CVE-2021-34523
• CVE-2021-31207

Виправлення безпеки Microsoft

Після використання вразливостей для отримання початкового доступу оператори (наприклад, HAFNIUM) розгортають веб-оболонки на скомпрометованому сервері. Веб-оболонки потенційно дозволяють зловмисникам викрадати дані та виконувати додаткові шкідливі дії, які призводять до подальшої компрометації. Більш детальну технічну інформацію та деталі атаки HAFNIUM можна знайти на сторінці HAFNIUM.

Виявлення веб-оболонок та бекдорів, що використовуються в цьому ланцюжку атак, виглядає як:

• JS/Exploit.CVE-2021-26855.Webshell.A
• JS/Exploit.CVE-2021-26855.Webshell.B
• ASP/Webshell
• ASP/ReGeorg

Віддалене виконання коду на сервері Microsoft Exchange - уразливості:

• CVE-2021-26855 (найпоширеніші)
• CVE-2021-26857
• CVE-2021-26858
• CVE-2021-27065

Детальніше про Уразливості Microsoft Exchange, виявлені та експлуатовані в дикій природі. ESET наполегливо рекомендує негайно встановити оновлення безпеки Microsoft.

Для забезпечення найвищого рівня безпеки ми рекомендуємо завжди використовувати найновішу версію продукту ESET: Перевірте наявність останньої версії ваших бізнес-продуктів ESET

Не вимикайте ESET LiveGrid

У деяких випадках ваш продукт ESET з увімкненим ESET LiveGrid може реагувати на нові загрози швидше, ніж оновлення модулів.

Дізнайтеся більше про ESET LiveGrid і переконайтеся, що вона ввімкнена у вашому продукті ESET.

Мінімізуйте ризик атаки шкідливого програмного забезпечення

Що я можу зробити, щоб мінімізувати ризик атаки шкідливого програмного забезпечення?'

• Створюйте резервні копії важливих даних
• Не змінюйте налаштування за замовчуванням
• Завантажуйте патчі безпеки

Стаття в блозі WeLiveSecurity

Щоб дізнатися більше про те, як захистити свою систему від цього експлойта, рекомендуємо прочитати наступну статтю в блозі ESET:

• Microsoft поспішно випускає виправлення для чотирьох вразливостей нульового дня в Exchange Server
• Сервери Exchange під облогою щонайменше 10 груп APT

Щоб переглянути список усіх статей ESET про безпеку, пов'язаних з атаками нульового дня, див. Атаки нульового дня.