Nová vlna útoků využívá známé zranitelnosti k útoku na Microsoft Exchange

Výzkumníci společnosti S.C. Bitdefender SRL varovali před novou vlnou útoků, které využívají známé zranitelnosti a cílí na Microsoft Exchange. Výzkumníci začali zaznamenávat nárůst útoků využívajících exploity ProxyNotShell/OWASSRF k cílení na lokální nasazení Microsoft Exchange koncem listopadu loňského roku.

Útoky typu Server-Side Request Forgery umožňují útočníkovi odeslat vytvořený požadavek ze zranitelného serveru na druhý server, což útočníkovi umožní získat přístup ke zdrojům a provádět akce na zranitelném serveru.

Útoky SSRF patří k oblíbeným a často zneužívaným zranitelnostem. Proč? Jeden příklad za všechny – pokud je webová aplikace zranitelná vůči SSRF, může být útočník schopen odeslat požadavek ze zranitelného serveru na místní síťový prostředek, který není útočníkovi běžně přístupný. Případně může útočník odeslat požadavek na externí server, například cloudovou službu, aby provedl akce jménem zranitelného serveru.

Nová vlna útoků zaměřených na Microsoft Exchange využívá více technik k vytvoření řetězců zneužití, které vedou ke vzdálenému spuštění kódu. Exchange je obzvláště zranitelný kvůli své komplexní síti front-endových a back-endových služeb se starším kódem zajišťujícím zpětnou kompatibilitu.

Služby back-endu v systému Exchange také důvěřují požadavkům z vrstvy úložiště připojeného ke kontejneru front-endu. V případě útoku SSRF je platný token Kerberos generován systémem CAS. Exchange je také zranitelný z více back-endových služeb a ohrožuje jej řada známých zranitelností zahrnující ProxyLogon, ProxyShell, ProcyNotShell a OWASSRF.

Výzkumníci zaznamenali útoky zaměřené na servery Exchange v USA a v některých částech Evropy a na Blízkém východě v odvětvích, jako jsou nemovitosti, právníci, výroba, poradenství, velkoobchod a umění a zábava.

Uživatelům serverů Microsoft Exchange se doporučuje, aby zmenšili potenciální vektor útoků tím, že se zaměří na správu záplat a odhalování chybných konfigurací. Organizace by také měly zavést bezpečnostní kontroly, které pokrývají více úrovní zabezpečení, včetně reputace IP/URL pro všechny koncové body a ochrany proti útokům bez souborů.

„Moderní aktéři hrozeb často tráví týdny nebo měsíce aktivním průzkumem sítí, generováním výstrah a spoléháním na absenci detekčních a reakčních schopností,“ uzavírají výzkumníci. „Nejlepší ochranou proti moderním kybernetickým útokům je hloubková obranná architektura.“

Zdroj: siliconangle.com