Aanvallers zijn begonnen met het scannen van Microsoft Exchange-servers op de de ProxyShell-kwetsbaarheden nadat vorige week tijdens de Black Hat-conferentie in Las Vegas details over de beveiligingslekken werden gedeeld.
Dat melden het Computer Security Incident Response Team (CERT) van de Zwitserse overheid en verschillende beveiligingsonderzoekers op Twitter. Microsoft kwam in april en mei met beveiligingsupdates voor de kwetsbaarheden, aangeduid als CVE-2021-34473, CVE-2021-34523 en CVE-2021-31207. Door de beveiligingslekken te combineren is het mogelijk voor ongeauthenticeerde aanvallers om kwetsbare Exchange-servers op afstand over te nemen.
Tijdens de Pwn2Own-wedstrijd in april werden de kwetsbaarheden gedemonstreerd door securitybedrijf DEVCORE, dat een beloning van 200.000 dollar hiervoor ontving. Beveiligingsonderzoeker Orange Tsai van DEVCORE gaf tijdens de Black Hat-conferentie een presentatie over de kwetsbaarheden (pdf).
Tsai ontdekte ook de ProxyLogon-kwetsbaarheid die eerder dit jaar op grote schaal werd gebruikt voor het aanvallen van Microsoft Exchange-servers. De onderzoeker stelt dat ProxyLogon slechts het top van de ijsberg is. "Vanuit een architectuurniveau gezien is ProxyLogon geen kwetsbaarheid, maar een compleet nieuw aanvalsoppervlak dat nog niet eerder door iemand is genoemd. Het aanvalsoppervlak zorgt ervoor dat hackers of beveiligingsonderzoekers meer kwetsbaarheden kunnen vinden."
Volgens de onderzoekers gaat het bij zowel ProxyShell als ProxyLogon om logicafouten die eenvoudiger zijn te reproduceren en te misbruiken dan geheugenkwetsbaarheden. Een dag na de presentatie lieten andere beveiligingsonderzoekers weten dat het gelukt was om aan de hand van de gegeven informatie een exploit te ontwikkelen. Op dezelfde dag meldde beveiligingsonderzoeker Kevin Beaumont dat hij actief misbruik van de kwetsbaarheden zag. Iets dat gisteren door het Zwitserse CERT is bevestigd.
Hoeveel Microsoft Exchange-servers ondanks de beschikbare beveiligingsupdates kwetsbaar zijn is onbekend. Tsai stelt op basis van eigen onderzoek dat meer dan 400.000 Exchange-servers vanaf het internet toegankelijk zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.