CVE-2021-34523

Суть уязвимости

Уязвимость CVE-2021-34523 (также известная как ProxyShell) — это цепочка уязвимостей в Microsoft Exchange Server, позволяющая атакующему выполнить произвольный код на сервере без аутентификации. Эксплуатация происходит через три этапа: 1. SSRF (Server-Side Request Forgery): Обход проверки ACL (Access Control List) для получения сессии администратора. 2. Десериализация: Использование уязвимости десериализации для выполнения кода в контексте SYSTEM. 3. Привилегированная операция: Установка веб-шелла на сервер для дальнейшего контроля.

Атакующий может использовать эту уязвимость, отправив специально сформированные HTTP-запросы к порту 443 (HTTPS) сервера Exchange.

Как исправить

Установите последние накопительные обновления (CU) и обновления безопасности (SU) для вашей версии Exchange Server. Патч включен в следующие обновления:

• Exchange Server 2019:

  • Накопительное обновление 10 (CU10) + Обновление безопасности от июля 2021 (или новее).
  • Накопительное обновление 11 (CU11) + Обновление безопасности от июля 2021 (или новее).
  • Конкретный номер KB: Установите обновление KB5004779 (Security Update for Microsoft Exchange Server 2019, 2016, and 2013: July 13, 2021) или более новое.

• Exchange Server 2016:

  • Накопительное обновление 21 (CU21) + Обновление безопасности от июля 2021 (или новее).
  • Накопительное обновление 22 (CU22) + Обновление безопасности от июля 2021 (или новее).
  • Конкретный номер KB: Установите обновление KB5004779 или более новое.

• Exchange Server 2013:

  • Накопительное обновление 23 (CU23) + Обновление безопасности от июля 2021 (или новее).
  • Конкретный номер KB: Установите обновление KB5004779 или более новее.

Порядок действий: 1. Определите точную версию Exchange Server (например, с помощью PowerShell): powershell Get-Command ExSetup.exe | ForEach-Object {$_.FileVersionInfo} 2. Скачайте соответствующее обновление с официального каталога Microsoft. 3. Установите обновление на каждый сервер Exchange в организации. Перед установкой создайте резервную копию.

Временное решение

Если немедленная установка патча невозможна, примените следующие меры:

1. Ограничьте доступ к портам Exchange извне: На внешнем брандмауэре заблокируйте прямой доступ к портам 443 (HTTPS) и 80 (HTTP) серверов Exchange для всех IP-адресов, кроме доверенных (например, IP-адресов вашего VPN или прокси-сервера для Outlook Web App).
2. Настройте правила на WAF/Reverse Proxy: Добавьте правила для блокировки запросов, эксплуатирующих уязвимости ProxyShell. Пример для ModSecurity (CRS): SecRule REQUEST_URI "@rx /autodiscover/autodiscover\.json" \ "id:1000,\ phase:1,\ deny,\ status:403,\ msg:'Blocking ProxyShell Autodiscover request'" Блокируйте пути, связанные с autodiscover, mapi, ecp и owa, если они не используются легитимными клиентами с определенных IP.
3. Отключите неиспользуемые компоненты PowerShell: Если не используются удаленные сессии PowerShell через Exchange, отключите соответствующие виртуальные каталоги IIS (например, PowerShell).
4. Проверьте журналы на наличие компрометации: Немедленно проанализируйте журналы IIS (C:\inetpub\logs\LogFiles\) на предмет подозрительных запросов к URL-адресам, содержащим autodiscover.json и X-Rps-CAT в заголовках, а также на наличие необычных файлов .aspx в каталогах Exchange.