Używasz Exchange? Lepiej szybko się łataj. Aktywnie exploitowane luki umożliwiające bez uwierzytelnienia: odczyt wszystkich maili ze skrzynek, wykonanie kodu na serwerze (RCE)

Zobaczcie na krytyczną podatność opisaną tutaj. Microsoft pisze:

Microsoft Exchange Server Remote Code Execution Vulnerability

Dodając że podatność jest aktywnie exploitowana, cytując przede wszystkim Orange Tsai oraz Volexity. Orange pisał niedawno tak:

Mam tu kilka bugów dających w sumie pre-auth RCE. To jest być może najpoważniejsza grupa podatności, którą znalazłem do tej pory:

Just report a pre-auth RCE chain to the vendor. This might be the most serious RCE I have ever reported! Hope there is no bug collision or duplicate😝

— Orange Tsai 🍊 (@orange_8361) January 5, 2021

Czy chodzi właśnie o wspomniany unauth RCE na serwerze Exchange? Najprawdopodobniej tak (choć czekamy jeszcze na potwierdzenie).

Druga ekipa pisze tak:

Volexity wykryło atakującego, który exploitował podatność SSRF (0day) w Exchange. Napastnik używał tej podatności do wykradzenia pełnej zawartości wielu skrzynek pocztowych. Podatność jest zdalnie wykorzystywalna i nie wymaga posiadania jakiegokolwiek uwierzytelnienia czy specjalnego dostępu do środowiska

Volexity determined the attacker was exploiting a zero-day server-side request forgery (SSRF) vulnerability in Microsoft Exchange (CVE-2021-26855). The attacker was using the vulnerability to steal the full contents of several user mailboxes. This vulnerability is remotely exploitable and does not require authentication of any kind, nor does it require any special knowledge or access to a target environment

Microsoft dodaje, że do wykorzystania podatności wystarczy sieciowy dostęp do portu 443 (OWA?).

The initial attack requires the ability to make an untrusted connection to Exchange server port 443.

Jest też dostępny prosty skrypt do nmapa, weryfikujący czy mamy podatną instalację Exchange.

–ms