Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Używasz Exchange? Lepiej szybko się łataj. Aktywnie exploitowane luki umożliwiające bez uwierzytelnienia: odczyt wszystkich maili ze skrzynek, wykonanie kodu na serwerze (RCE)
Zobaczcie na krytyczną podatność opisaną tutaj. Microsoft pisze:
Microsoft Exchange Server Remote Code Execution Vulnerability
Dodając że podatność jest aktywnie exploitowana, cytując przede wszystkim Orange Tsai oraz Volexity. Orange pisał niedawno tak:
Mam tu kilka bugów dających w sumie pre-auth RCE. To jest być może najpoważniejsza grupa podatności, którą znalazłem do tej pory:
Czy chodzi właśnie o wspomniany unauth RCE na serwerze Exchange? Najprawdopodobniej tak (choć czekamy jeszcze na potwierdzenie).
Druga ekipa pisze tak:
Volexity wykryło atakującego, który exploitował podatność SSRF (0day) w Exchange. Napastnik używał tej podatności do wykradzenia pełnej zawartości wielu skrzynek pocztowych. Podatność jest zdalnie wykorzystywalna i nie wymaga posiadania jakiegokolwiek uwierzytelnienia czy specjalnego dostępu do środowiska
Volexity determined the attacker was exploiting a zero-day server-side request forgery (SSRF) vulnerability in Microsoft Exchange (CVE-2021-26855). The attacker was using the vulnerability to steal the full contents of several user mailboxes. This vulnerability is remotely exploitable and does not require authentication of any kind, nor does it require any special knowledge or access to a target environment
Microsoft dodaje, że do wykorzystania podatności wystarczy sieciowy dostęp do portu 443 (OWA?).
The initial attack requires the ability to make an untrusted connection to Exchange server port 443.
Jest też dostępny prosty skrypt do nmapa, weryfikujący czy mamy podatną instalację Exchange.
–ms