В начале марта инженеры Майкрософт выпустили внеплановый патч для четырех уязвимостей на мейл серверах Exchange, под именем “ProxyLogon” (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, and CVE-2021-27065).
Уязвимости позволяют злоумышленникам обойти этап аутентификации, получить права администратора, устанавливать вредоносное ПО и выполнять произвольные команды.
У Microsoft Exchange огромное количество пользователей по всему миру. Если хакеры получат возможность выполнять такие атаки, это может стать одним из самых значительных взломов за последние годы.
Кто пострадал
Уязвимости влияют на:
Exchange Server 2013 < 15.00.1497.012
Exchange Server 2016 < 15.01.2106.013
Exchange Server 2019 < 15.02.0792.010
Exchange Server 2019 < 15.02.0721.013
Онлайн сервера Exchange не затронуты
Уязвимости
CVE-2021-26855: CVSS 9.1. уязвимость позволяет подделать запрос на стороне сервера (SSRF), это приводит к созданию HTTP-запросов, которые отправляет не аутентифицированный злоумышленник.
Сервер пытается установить не надежное соединение с 443 портом сервера Exchange.
CVE-2021-26857: CVSS 7.8. Опасная уязвимость в службе системы обмена сообщениями Exchange. Позволяет использовать произвольный код в системе.
В идеале эту уязвимость следует сочетать с обходом аутентификации, который вполне может обеспечить CVE-2021-26855.
CVE-2021-26858: CVSS 7.8. Злоумышленник, после прохождения проверки подлинности, может использовать эту уязвимость для записи произвольных файлов на сервере.
CVE-2021-27065: CVSS 7.8. Так же работает в связке с и позволяет получить доступ к (Exchange admin center) интерфейсу, что является привилегированным веб интерфейсом.
Статистика по серверам Microsoft Exchange
Мы проверили и подготовили интересные факты о вышеупомянутых уязвимостях Microsoft Exchange.
*Данные были собраны 03.07.2021 с помощью сканеров .
Количество уязвимых серверов по странам
Количество уязвимых серверов Microsoft Exchange
Топ-10 интернет-провайдеров (ISP)
Количество серверов, принадлежащих определенному интернет-провайдеру
Топ открытых портов на серверах Microsoft Exchange
Порты на которых обнаружена технология Microsoft Exchange
Самые популярные версии Microsoft Exchange
Домены с Microsoft Exchange, отсортированные по рейтингу Alexa
Домены из топ-миллион по рейтингу Alexa, размещенные на уязвимых IP-адресах
Как найти не обновленные сервера Microsoft Exchange
Используя гибкий поиск(Advanced Search) в Spyse можно найти потенциально уязвимые цели по названию технологии.
Судя по актуальности данных, можно предположить, что не все найденные хосты уже обновлены и потенциально уязвимы для упомянутых уязвимостей.
Если вам нужно найти другую технологию, ознакомьтесь со .
С списком уязвленных организаций можно познакомиться .
