V serveroch Microsoft Exchange sa vyskytuje aktívne zneužívaná závažná zraniteľnosť
Spoločnosť Microsoft urguje používateľov, aby si aktualizovali svoje Exchange servery z dôvodu výskytu závažnej zraniteľnosti, ktorá je aktívne zneužívaná. Zneužitím môže dôjsť k vzdialenému vykonaniu ľubovoľného kódu autentifikovaným útočníkom v zraniteľnom systéme.
Opis činnosti
CVE-2021-42321
V serveroch Microsoft Exchange sa vyskytuje závažná zraniteľnosť CVE-2021-42321, ktorá je aktívne zneužívaná útočníkmi. CVSS skóre tejto zraniteľnosti je 8,8 a objavilo ju centrum Microsoft Threat Intelligence Center (MSTIC). Spomenutá tiež bola na Tianfu Cup v Číne minulý mesiac.
Jedná sa o post-autentizačnú zraniteľnosť, ktorá umožňuje autentifikovaným útočníkom vzdialene vykonávať ľubovoľný kód v zraniteľnom systéme. Zraniteľnosť sa týka konkrétne produktov Microsoft Exchange Server 2016 a Microsoft Exchange Server 2019. Chyba ovplyvňuje len lokálne servery, vrátane tých, ktoré fungujú v režime Exchange Hybrid. Súvisí s nesprávnym overovaním argumentov v príkazoch (cmdlet-och) používaných v Powershell.
Na kontrolu, či sa na vašom Exchange serveri pokúšali útočníci zneužiť túto zraniteľnosť, stačí v Powershell spustiť nasledujúci príkaz, ktorý skontroluje špecifické udalosti v Event Logu:
Get-EventLog -LogName Application -Source „MSExchange Common“ -EntryType Error | Where-Object { $_.Message -like „*BinaryFormatter.Deserialize*“ }
Zraniteľné systémy
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
Závažnosť zraniteľnosti
Vysoká
Možné škody
- Vzdialené vykonávanie kódu
- Úplná kompromitácia zraniteľného systému
Odporúčania
Spoločnosť Microsoft odporúča bezodkladnú aktualizáciu zraniteľných verzií Microsoft Exchange serverov.
Odkazy
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42321
https://threatpost.com/microsoft-nov-patch-tuesday-fixes-six-zero-days-55-bugs/176143/
https://thehackernews.com/2021/11/microsoft-issues-patches-for-actively.html