ProxyLogon (CVE-2021-26855)
O que é ProxyLogon (CVE-2021-26855)?
ProxyLogon (CVE-2021-26855)SSRF pré-autenticado de 2021 no Microsoft Exchange Server que, encadeado com outras três CVEs, permitia a atacantes não autenticados tomarem o Exchange on-prem.
O ProxyLogon (CVE-2021-26855) é um SSRF pré-autenticado no Microsoft Exchange Server que permite ao atacante enviar pedidos HTTP arbitrários em nome do servidor Exchange. Encadeado com CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065, alcançou RCE sem autenticação em Exchange on-prem e plantou webshells em dezenas de milhares de caixas de correio no início de 2021. A Microsoft atribuiu a exploração inicial ao grupo HAFNIUM; a exploração massiva por múltiplos atores começou poucos dias após o patch de emergência de março de 2021. Defesas: aplicar as atualizações de segurança de março de 2021 (e CUs seguintes), correr o Microsoft Safety Scanner e os scripts de IOC do HAFNIUM e migrar para o Exchange Online quando possível.
● Exemplos
- 01
HAFNIUM a explorar o ProxyLogon para instalar webshells China Chopper em milhares de servidores Exchange.
- 02
Grupos de cryptojacking a colocar mineiros XMRig em hosts Exchange comprometidos via ProxyLogon.
● Perguntas frequentes
O que é ProxyLogon (CVE-2021-26855)?
SSRF pré-autenticado de 2021 no Microsoft Exchange Server que, encadeado com outras três CVEs, permitia a atacantes não autenticados tomarem o Exchange on-prem. Pertence à categoria Vulnerabilidades da cibersegurança.
O que significa ProxyLogon (CVE-2021-26855)?
SSRF pré-autenticado de 2021 no Microsoft Exchange Server que, encadeado com outras três CVEs, permitia a atacantes não autenticados tomarem o Exchange on-prem.
Como se defender contra ProxyLogon (CVE-2021-26855)?
As defesas contra ProxyLogon (CVE-2021-26855) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para ProxyLogon (CVE-2021-26855)?
Nomes alternativos comuns: CVE-2021-26855, Cadeia SSRF Exchange.