Основы Интернет - технологий.

В рамках ноябрьского «вторника обновлений» Microsoft исправила баг CVE-2021-42321, затрагивающий Exchange Server 2016 и Exchange Server 2019. Теперь для этой проблемы обнародован PoC-эксплоит.

Напомню, что в прошлом месяце, в рамках хакерского состязания Tianfu Cup, для проблемы CVE-2021-42321 был применен эксплоит, который позволял аутентифицированному злоумышленнику выполнить произвольный код. По этой причине Microsoft предупреждала, что уязвимость уже находится под атаками.

В начале месяца специалисты компании призывали администраторов срочно установить патчи, так как проблема весьма серьезная, хотя для ее эксплуатации и нужна аутентификация. Как было сказано выше, CVE-2021-42321 представляет опасность для Exchange Server 2016 и Exchange Server 2019 и связана с некорректной валидацией аргументов cmdlet. Баг влияет только на on-premises серверы Exchange, включая те, что используются клиентами в гибридном режиме Exchange (подчеркивалось, что клиенты Exchange Online защищены от попыток эксплуатации уязвимости).

Теперь, спустя почти четыре недели после выпуска патча, исследователь, известный под ником Janggggg, опубликовал эксплоит для этой RCE-проблемы. Эксперт подчеркивает, что PoC просто запускает mspaint.exe на целевой машине, но его можно использовать для распознавания сигнатурного паттерна успешных атак.

Специалисты издания Bleeping Computer отмечают, что в 2021 году администраторы Exchange уже столкнулись с двумя массовыми кампаниями, нацеленными на эксплуатацию уязвимостей ProxyLogon (CVE-2021-26855) и  ProxyShell (CVE-2021-34473 и CVE-2021-34523). Теперь же ИБ-исследователи предупреждают, что новая проблема CVE-2021-42321 тоже заинтересовала хакеров,  и они уже сканируют сеть в поисках уязвимых систем, пытаясь их взломать.