Share This
Связаться со мной
Крути в низ
Categories
//Microsoft опубликовала скрипт для проверки серверов Exchange на уязвимость ProxyLogon

Microsoft опубликовала скрипт для проверки серверов Exchange на уязвимость ProxyLogon

07.03.2021Category : My Habr

microsoft opublikovala skript dlja proverki serverov exchange na ujazvimost proxylogon 8e216a4 - Microsoft опубликовала скрипт для проверки серверов Exchange на уязвимость ProxyLogon

6 марта 2021 года Microsoft выложила на GitHub скрипт для проверки факта взлома серверов Exchange и просит системных администраторов проверить свои корпоративные почтовые сервера на взлом после недавно обнаруженной цепочки уязвимостей ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065).

В настоящее время только 10 % от работающих систем пропатчено от этих четырех багов, позволяющих злоумышленникам удаленно выполнять произвольный код на серверах Microsoft Exchange, где используется Outlook on the web (OWA).

Microsoft настоятельно рекомендует проверить вручную и установить последние обновления безопасности для серверов Microsoft Exchange. Версии серверов, которые попадали в группу повышенного риска:

  • Exchange Server 2019 < 15.02.0792.010;
  • Exchange Server 2019 < 15.02.0721.013;
  • Exchange Server 2016 < 15.01.2106.013;
  • Exchange Server 2013 < 15.00.1497.012.

Команда разработчиков DEVCORE, специалисты которой первыми обнаружили проблемы, запустила информационный портал об уязвимости ProxyLogon, которой в итоге оказались подвержены сотни тысяч серверов Exchange по всему миру.

В рамках недавних атак на сервера Exchange злоумышленники смогли установить во взломанных системах веб-оболочки, которые позволяли им контролировать почтовый сервер и получить доступ к внутренней сети компании.

Скрипт для автоматической проверки наличия взлома ProxyLogin от Microsoft позволяет проверить индикаторы компрометации (IOC) в логах Exchange HttpProxy и Exchange, а также в журналах событий приложений Windows. Ранее были доступны отдельные команды для понимания проблемы.

Microsoft выложила скрипт под названием "Test-ProxyLogon.ps1" в свой репозиторий на GitHub. С его помощью можно автоматизировать проверку почтового сервера на взлом.

Microsoft пояснила, что для проверки всех серверов Exchange в организации и сохранения журналов и логов на рабочем столе, системный администратор должен ввести следующую команду в Exchange Management Shell: Get-ExchangeServer | .Test-ProxyLogon.ps1 -OutPath $homedesktoplogs.

Если необходимо проверить только локальный сервер и сохранить логи, то нужно ввести следующую команду:.Test-ProxyLogon.ps1 -OutPath $homedesktoplogs.

Чтобы проверить только локальный сервер и отобразить результаты без их сохранения, нужно запустить следующую команду:.Test-ProxyLogon.ps1.

Вдобавок Microsoft опубликовала еще один скрипт — "BackendCookieMitigation.ps1", который отфильтровывает https-запросы, содержащие вредоносные файлы куки X-AnonResource-Backend и искаженные файлы куки X-BEResource, а также защищает от известных наблюдаемых паттернов, если система была взломана.

Это смягчение будет отфильтровывать запросы https, которые содержат вредоносные файлы cookie X-AnonResource-Backend и искаженные файлы cookie X-BEResource, которые, как было обнаружено, использовались в атаках SSRF в дикой природе. Это поможет с защитой от известных наблюдаемых паттернов, но не от SSRF в целом. Дополнительные сведения см. В комментариях вверху сценария.

Пример использования уязвимостей связки ProxyLogon на серверах Exchange.

2 марта Microsoft сообщила о массовом использовании 0-day уязвимостей на почтовых серверах Microsoft Exchange Server с целью кражи важных данных и получения удаленного контроля. Компания оперативно опубликовала против них необходимые патчи. На первом этапе взлома злоумышленники получают доступ к серверу Microsoft Exchange Server с помощью ранее скомпрометированных учетных данных либо путем эксплуатации 0-day уязвимостей. Затем на сервере создается Web Shell для удаленного контроля, после чего продолжается развитие атаки и кража корпоративных данных.

3 марта агентство кибербезопасности и защиты инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) выпустило экстренное предупреждение о необходимости обновить программу для обмена сообщениями Microsoft Exchange Server.

5 марта Reuters сообщило, что более 30 тыс. частных компаний и государственных структур в США и около 250 тыс. компаний по всему миру пострадали в результате хакерской атаки, организованной с помощью использования уязвимостей Microsoft Exchange Server.

  • 6 views
  • 0 Comment

Leave a Reply

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Свежие комментарии

    Рубрики

    About Author 01.

    Roman Spiridonov
    Roman Spiridonov

    Привет ! Мне 38 лет, я работаю в области информационных технологий более 4 лет. Тут собрано самое интересное.

    Our Instagram 04.

    Categories 05.

    © Speccy 2020 / All rights reserved

    Связаться со мной
    Close