Microsoft Exchange Server – ProxyLogon: детали и статистика

Microsoft Exchange Server – ProxyLogon: детали и статистика



В начале марта инженеры Майкрософт выпустили внеплановый патч для четырех уязвимостей на мейл серверах Exchange, под именем “ProxyLogon” (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, and CVE-2021-27065).

Уязвимости позволяют злоумышленникам обойти этап аутентификации, получить права администратора, устанавливать вредоносное ПО и выполнять произвольные команды.

У Microsoft Exchange огромное количество пользователей по всему миру. Если хакеры получат возможность выполнять такие атаки, это может стать одним из самых значительных взломов за последние годы.


Кто пострадал

Уязвимости влияют на:

Exchange Server 2013 < 15.00.1497.012
Exchange Server 2016 < 15.01.2106.013
Exchange Server 2019 < 15.02.0792.010
Exchange Server 2019 < 15.02.0721.013

Онлайн сервера Exchange не затронуты

Уязвимости


CVE-2021-26855: CVSS 9.1. уязвимость позволяет подделать запрос на стороне сервера (SSRF), это приводит к созданию HTTP-запросов, которые отправляет не аутентифицированный злоумышленник.
Сервер пытается установить не надежное соединение с 443 портом сервера Exchange.


CVE-2021-26857: CVSS 7.8. Опасная уязвимость в службе системы обмена сообщениями Exchange. Позволяет использовать произвольный код в системе.
В идеале эту уязвимость следует сочетать с обходом аутентификации, который вполне может обеспечить CVE-2021-26855.


CVE-2021-26858: CVSS 7.8. Злоумышленник, после прохождения проверки подлинности, может использовать эту уязвимость для записи произвольных файлов на сервере.

CVE-2021-27065: CVSS 7.8. Так же работает в связке с CVE-2021-26855 и позволяет получить доступ к EAC/EPC (Exchange admin center) интерфейсу, что является привилегированным веб интерфейсом.


Статистика по серверам Microsoft Exchange



Мы проверили и подготовили интересные факты о вышеупомянутых уязвимостях Microsoft Exchange.

*Данные были собраны 03.07.2021 с помощью сканеров Spyse .


Количество уязвимых серверов по странам


Количество уязвимых серверов Microsoft Exchange

Топ-10 интернет-провайдеров (ISP)

Количество серверов, принадлежащих определенному интернет-провайдеру

Топ открытых портов на серверах Microsoft Exchange

Порты на которых обнаружена технология Microsoft Exchange


Самые популярные версии Microsoft Exchange


Домены с Microsoft Exchange, отсортированные по рейтингу Alexa


Домены из топ-миллион по рейтингу Alexa,  размещенные на уязвимых IP-адресах

Как найти не обновленные сервера Microsoft Exchange
Важно! Мы не поддерживаем деятельность киберпреступников. Такие данные будут полезны для охотников за ошибками, исследователей кибербезопасности и журналистов.

Используя гибкий поиск(Advanced Search) в Spyse можно найти потенциально уязвимые цели по названию технологии.

Поисковый запрос

Судя по актуальности данных, можно предположить, что не все найденные хосты уже обновлены и потенциально уязвимы для упомянутых уязвимостей.


Если вам нужно найти другую технологию, ознакомьтесь со списком сканируемых нами технологий .


С списком уязвленных организаций можно познакомиться тут .  
Microsoft Exchange Server
Alt text

История Ричарда Столмана - от любви до ненависти. Раскрыты подробности уплаты выкупа вымогателям а киберграбители взялись за цифровое искусство. Смотрите 12 выпуск security-новостей на нашем Youtube канале.