Národní úřad pro kybernetickou a informační bezpečnost vydal varování před aktivním zneužíváním zranitelnosti Microsoft Exchange Server – ProxyShell.
Bezpečnostní problémy (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) se týkají MS Exchange Serveru ve verzích 2013, 2016 a 2019. Zneužití přes port 443 není technicky složité, nevyžaduje žádnou akci uživatele/správce a útočník nemusí mít žádná uživatelská oprávnění.
Jednotlivé zranitelnosti již byly opraveny bezpečnostními aktualizacemi vydanými v dubnu (KB5001779 pro CVE-2021-34473 a CVE-2021-34523 ) a květnu (KB5003435 pro CVE-2021-31207). Jak uvádí oznámení NÚKIB, zranitelnosti lze ovšem nově zneužít v jejich kombinaci k útoku ProxyShell, který byl v srpnu prezentován na konferenci BlackHat USA. Obdobně jako u série zranitelností ProxyLogon z března 2021 umožňuje tento útok nahrát na server webshell, přes který může útočník vzdáleně spouštět kód s nejvyšším oprávněním, a zcela tak kompromitovat daný server.
Zranitelné systémy jsou aktuálně aktivně skenované a je zaznamenána řada případů úspěšného zneužití. Dle vyhledávače Shodan se k 13. 8. 2021 zranitelnosti týkají 865 serverů v ČR.
NÚKIB všem správcům dotčených systémů doporučuje bezodkladně nainstalovat poslední dostupné bezpečnostní aktualizace pro Exchange Server.