Ga naar inhoud

Aanvallers scannen Microsoft Exchange-servers op ProxyShell-lekken


Aanbevolen berichten

Aanvallers zijn begonnen met het scannen van Microsoft Exchange-servers op de de ProxyShell-kwetsbaarheden nadat vorige week tijdens de Black Hat-conferentie in Las Vegas details over de beveiligingslekken werden gedeeld.

Dat melden het Computer Security Incident Response Team (CERT) van de Zwitserse overheid en verschillende beveiligingsonderzoekers op Twitter. Microsoft kwam in april en mei met beveiligingsupdates voor de kwetsbaarheden, aangeduid als CVE-2021-34473, CVE-2021-34523 en CVE-2021-31207. Door de beveiligingslekken te combineren is het mogelijk voor ongeauthenticeerde aanvallers om kwetsbare Exchange-servers op afstand over te nemen.

Tijdens de Pwn2Own-wedstrijd in april werden de kwetsbaarheden gedemonstreerd door securitybedrijf DEVCORE, dat een beloning van 200.000 dollar hiervoor ontving. Beveiligingsonderzoeker Orange Tsai van DEVCORE gaf tijdens de Black Hat-conferentie een presentatie over de kwetsbaarheden (pdf).

Tsai ontdekte ook de ProxyLogon-kwetsbaarheid die eerder dit jaar op grote schaal werd gebruikt voor het aanvallen van Microsoft Exchange-servers. De onderzoeker stelt dat ProxyLogon slechts het top van de ijsberg is. "Vanuit een architectuurniveau gezien is ProxyLogon geen kwetsbaarheid, maar een compleet nieuw aanvalsoppervlak dat nog niet eerder door iemand is genoemd. Het aanvalsoppervlak zorgt ervoor dat hackers of beveiligingsonderzoekers meer kwetsbaarheden kunnen vinden."

Volgens de onderzoekers gaat het bij zowel ProxyShell als ProxyLogon om logicafouten die eenvoudiger zijn te reproduceren en te misbruiken dan geheugenkwetsbaarheden. Een dag na de presentatie lieten andere beveiligingsonderzoekers weten dat het gelukt was om aan de hand van de gegeven informatie een exploit te ontwikkelen. Op dezelfde dag meldde beveiligingsonderzoeker Kevin Beaumont dat hij actief misbruik van de kwetsbaarheden zag. Iets dat gisteren door het Zwitserse CERT is bevestigd.

Hoeveel Microsoft Exchange-servers ondanks de beschikbare beveiligingsupdates kwetsbaar zijn is onbekend. Tsai stelt op basis van eigen onderzoek dat meer dan 400.000 Exchange-servers vanaf het internet toegankelijk zijn.

 

bron: https://www.security.nl

Link naar reactie
Delen op andere sites


Dit is een verouderd onderwerp. Heb je een gelijkaardige vraag? Start dan een nieuw topic in dit forumonderdeel aub.

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

 Delen

×
×
  • Nieuwe aanmaken...