6 марта 2021 года Microsoft выложила на GitHub скрипт для проверки факта взлома серверов Exchange и просит системных администраторов проверить свои корпоративные почтовые сервера на взлом после недавно обнаруженной цепочки уязвимостей ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065). В настоящее время только 10 % от работающих систем пропатчено от этих четырех багов, позволяющих злоумышленникам удаленно выполнять произвольный код на серверах Microsoft Exchange, где используется Outlook on the web (OWA). Microsoft настоятельно рекомендует проверить вручную и установить последние обновления безопасности для серверов Microsoft Exchange. Версии серверов, которые попадали в группу повышенного риска: Exchange Server 2019 < 15.02.0792.010; Exchange Server 2019 < 15.02.0721.013; Exchange Server 2016 < 15.01.2106.013; Exchange Server 2013 < 15.00.1497.012. Команда разработчиков DEVCORE, специалисты которой первыми обнаружили проблемы, запустила информационный портал об уязвимости ProxyLogon, которой в итоге оказались подвержены сотни тысяч серверов Exchange по всему миру. В рамках недавних атак на сервера Exchange злоумышленники смогли установить во взломанных системах веб-оболочки, которые позволяли им контролировать почтовый сервер и получить доступ к внутренней сети компании. Скрипт для автоматической проверки наличия взлома ProxyLogin от Microsoft позволяет проверить индикаторы компрометации (IOC) в логах Exchange HttpProxy и Exchange, а также в журналах событий приложений Windows. Ранее были доступны отдельные команды для понимания проблемы. Microsoft выложила скрипт под названием "Test-ProxyLogon.ps1" в свой репозиторий на GitHub. С его помощью можно автоматизировать проверку почтового сервера на взлом. Microsoft пояснила, что для проверки всех серверов Exchange в организации и сохранения журналов и логов на рабочем столе, системный администратор должен ввести следующую команду в Exchange Management Shell: Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs. Если необходимо проверить только локальный сервер и сохранить логи, то нужно ввести следующую команду:.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs. Чтобы проверить только локальный сервер и отобразить результаты без их сохранения, нужно запустить следующую команду:.\Test-ProxyLogon.ps1. Вдобавок Microsoft опубликовала еще один скрипт — "BackendCookieMitigation.ps1", который отфильтровывает https-запросы, содержащие вредоносные файлы куки X-AnonResource-Backend и искаженные файлы куки X-BEResource, а также защищает от известных наблюдаемых паттернов, если система была взломана. Это смягчение будет отфильтровывать запросы https, которые содержат вредоносные файлы cookie X-AnonResource-Backend и искаженные файлы cookie X-BEResource, которые, как было обнаружено, использовались в атаках SSRF в дикой природе. Это поможет с защитой от известных наблюдаемых паттернов, но не от SSRF в целом. «В России атаковано уже около 40 компаний. Данные уязвимости позволяют злоумышленникам получить доступ к любым почтовым аккаунтам на Microsoft Exchange Server, а также установить на нём вредоносное программное обеспечение, чтобы закрепиться на уязвимой машине или в дальнейшем в сети», — сказано в заявлении «Лаборатории Касперского» изданию «Интерфакс». Национальный координационный центр по компьютерным инцидентам России (НКЦКИ, создан ФСБ) выпустил специальные рекомендации для руководителей и владельцев объектов критической информационной инфраструктуры РФ о необходимости незамедлительного обновления обновить Microsoft Exchange Server. 2 марта Microsoft сообщила о массовом использовании 0-day уязвимостей на почтовых серверах Microsoft Exchange Server с целью кражи важных данных и получения удаленного контроля. Компания оперативно опубликовала против них необходимые патчи. На первом этапе взлома злоумышленники получают доступ к серверу Microsoft Exchange Server с помощью ранее скомпрометированных учетных данных либо путем эксплуатации 0-day уязвимостей. Затем на сервере создается Web Shell для удаленного контроля, после чего продолжается развитие атаки и кража корпоративных данных. 3 марта агентство кибербезопасности и защиты инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) выпустило экстренное предупреждение о необходимости обновить программу для обмена сообщениями Microsoft Exchange Server. 5 марта Reuters сообщило, что более 30 тыс. частных компаний и государственных структур в США и около 250 тыс. компаний по всему миру пострадали в результате хакерской атаки, организованной с помощью использования уязвимостей Microsoft Exchange Server. Хабр https://safezone.cc/threads/microso...erov-exchange-na-ujazvimost-proxylogon.38123/ https://www.bleepingcomputer.com/ne...checks-exchange-servers-for-proxylogon-hacks/ https://www.bleepingcomputer.com/ne...inds-web-shells-from-exchange-server-attacks/