ProxyLogon (CVE-2021-26855)
Что такое ProxyLogon (CVE-2021-26855)?
ProxyLogon (CVE-2021-26855)Преаутентифицированный SSRF в Microsoft Exchange Server 2021 года: вкупе с тремя другими CVE позволял неаутентифицированным атакующим захватывать локальный Exchange.
ProxyLogon (CVE-2021-26855) — SSRF до аутентификации в Microsoft Exchange Server, позволяющий атакующему отправлять произвольные HTTP-запросы от имени сервера Exchange. В связке с CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065 это давало неаутентифицированный RCE на on-prem Exchange и привело к установке веб-шеллов в десятках тысяч почтовых ящиков по всему миру в начале 2021 года. Microsoft приписала первоначальную эксплуатацию группе HAFNIUM; массовая эксплуатация другими акторами началась в течение нескольких дней после внепланового патча в марте 2021. Защита: применить мартовские обновления безопасности 2021 года (и последующие CU), запустить Microsoft Safety Scanner и скрипты IOC по HAFNIUM, при возможности перейти на Exchange Online.
● Примеры
- 01
HAFNIUM эксплуатирует ProxyLogon для установки веб-шеллов China Chopper на тысячи серверов Exchange.
- 02
Группы криптоджекинга подбрасывают майнеры XMRig на хосты Exchange, скомпрометированные через ProxyLogon.
● Частые вопросы
Что такое ProxyLogon (CVE-2021-26855)?
Преаутентифицированный SSRF в Microsoft Exchange Server 2021 года: вкупе с тремя другими CVE позволял неаутентифицированным атакующим захватывать локальный Exchange. Относится к категории Уязвимости в кибербезопасности.
Что означает ProxyLogon (CVE-2021-26855)?
Преаутентифицированный SSRF в Microsoft Exchange Server 2021 года: вкупе с тремя другими CVE позволял неаутентифицированным атакующим захватывать локальный Exchange.
Как защититься от ProxyLogon (CVE-2021-26855)?
Защита от ProxyLogon (CVE-2021-26855) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия ProxyLogon (CVE-2021-26855)?
Распространённые альтернативные названия: CVE-2021-26855, Цепочка SSRF в Exchange.