NCSC er kjent med at det i åpne kilder rapporteres om skanning mot sårbare 'on-premise' Microsoft Exchange instanser etter sårbarhetene kjent som ProxyShell[1,2].

ProxyShell er tre sårbarheter som kan kombineres i en angrepskjede for å oppnå fjernkjøring av kode på sårbare Exchange servere. Dette gjelder følgende tre sårbarheter:

- - CVE-2021-34473 - "Pre-auth Path Confusion leads to ACL Bypass"

  - Oppdatert i april (KB5001779)

- - CVE-2021-34523 - "Elevation of Privilege on Exchange PowerShell Backend"

  - Oppdatert i april (KB5001779)

- - CVE-2021-31207 - "Post-auth Arbitrary-File-Write leads to RCE"

  - Oppdatert i mai (KB5003435)

Det bemerkes at disse tre sårbarhetene ble oppdatert i henholdsvis april og mai som en del av Microsofts månedlige oppdateringer.

Sårbarhetene ble rapportert av sikkerhetsforskeren Orange Tsai som holdt et fordrag på BlackHat[3] og DefCon[4] denne uken om sårbarheter i Microsoft Exchange. I foredragene ble det gitt en rekke detaljer om hvordan sårbarhetene kan kombineres for å angripe en sårbar Exchange server. Den samme sikkerhetsforskeren har også publisert flere blogginnlegg som setter søkelys på sårbarheter i Exchange[5,6].

Andre sikkerhetsforskere har også rapportert om at forsøk på utnyttelse er observert[2].

For å oppdage forsøk på utnyttelse kan følgende tekststrenger benyttes for søk i IIS logger:

- - "/autodiscover/autodiscover.json"

- - "/mapi/nspi/"

NCSC er per tid ikke kjent med vellykket utnyttelse av disse sårbarhetene, men etterhvert som flere detaljer om hvordan sårbarhetene kan utnyttes blir kjent vil man kunne forvente en økning i forsøk på utnyttelse.

Oppdateringer til disse tre sårbarhetene har, som nevnt over, vært tilgjengelig siden april og mai. NCSC anbefaler derfor at man installerer disse så fort det lar seg gjøre dersom dette ikke allerede er gjort.

Referanser:

[1] https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-scanned-for-proxyshell-vulnerability-patch-now/

[2] https://twitter.com/GossiTheDog/status/1423764613829701632

[3] https://i.blackhat.com/USA21/Wednesday-Handouts/us-21-ProxyLogon-Is-Just-The-Tip-Of-The-Iceberg-A-New-Attack-Surface-On-Microsoft-Exchange-Server.pdf

[4] https://www.youtube.com/watch?v=5mqid-7zp8k

[5] https://blog.orange.tw/2021/08/proxylogon-a-new-attack-surface-on-ms-exchange-part-1.html?m=1

[6] https://blog.orange.tw/2021/08/proxyoracle-a-new-attack-surface-on-ms-exchange-part-2.html