Exchange-kwetsbaarheid ProxyShell wordt actief aangevallen na openbaarmaking

Verschillende beveiligingsbedrijven en overheidsinstanties waarschuwen voor kwetsbaarheden in Microsoft Exchange. Deze staan gezamenlijk bekend als ProxyShell en worden actief aangevallen nadat ze openbaar werden gemaakt op de BlackHat-conferentie.

De waarschuwingen komen van onder meer het Dutch Digital Trust Center en beveiligingsonderzoekers zoals Kevin Beaumont . Door de kwetsbaarheden kan externe code worden uitgevoerd op Exchange-servers, zonder dat authenticatie nodig is.

Het is een aanval die bestaat uit drie verschillende kwetsbaarheden, die samen ProxyShell hebben genoemd. De aanvallen zijn gericht op de Client Access Service en PowerShell, waar de naam vandaan komt.

De kwetsbaarheden maken het mogelijk om de toegangscontrolelijst in firewalls te omzeilen en vervolgens een lokale privilege-escalatie in te stellen via PowerShell. De derde kwetsbaarheid kan vervolgens worden gebruikt om code uit te voeren.

De kwetsbaarheden zijn niet nieuw; ze zijn weken geleden ontdekt tijdens hackercompetitie Pwn2Own . Devcore-beveiligingsonderzoeker Orange Tsai ontdekte de kwetsbaarheden en won er $ 200.000 voor.

Nu heeft Tsai zijn bevindingen openbaar gemaakt op de Black Hat-beveiligingsconferentie , die vorige week in Las Vegas plaatsvond. ProxyShell lijkt erg op ProxyLogon, een aanvalsvector die onlangs is uitgebracht door Tsai.

Nu de kwetsbaarheden openbaar zijn, zien zowel Tsai als andere beveiligingsonderzoekers dat servers actief worden aangevallen. Microsoft heeft in april en mei al updates uitgebracht die de bugs verhelpen. Toch ziet Tsai dat er nog zeker 400.000 servers toegankelijk zijn vanaf internet die de patches nog niet hebben geïmplementeerd.