Alerta de Vulnerabilidades - ProxyShell

A vulnerabilidade CVE-2021-34473 é de execução remota de código e a mais crítica.[3]
As vulnerabilidades CVE-2021-34523 e CVE-2021-31207 são, respetivamente, de elevação de privilégios e de bypass de recursos de segurança e foram inicialmente classificadas como "Exploração Menos Provável", de acordo com o Índice de Exploração da Microsoft devido às suas características.[4][5]

No entanto, quando exploradas em conjunto têm um valor significativo para os atacantes, podendo executar comandos arbitrários nos Exchange Servers vulneráveis na porta 443 e disseminando Ransomware.[2]

É recomendado aos utilizadores aplicar as atualizações cumulativas dos sistemas "on-premises” de Maio de 2021:

- Exchange Server 2013 (Cumulative Update 23)

- Exchange Server 2016 (Cumulative Update 20, Cumulative Update 19)

- Exchange Server 2019 (Cumulative Update 9, Cumulative Update 8)

As transferências das atualizações podem ser encontradas em [6].

É possível consultar Indicadores de Compromisso em [7].

[1] https://us-cert.cisa.gov/ncas/current-activity/2021/08/21/urgent-protect-against-active-exploitation-proxyshell

[2] https://www.tenable.com/blog/proxyshell-attackers-actively-scanning-for-vulnerable-microsoft-exchange-servers-cve-2021-34473

[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34473 

[4] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34523 

[5] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31207 

[6] https://support.microsoft.com/pt-pt/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-may-11-2021-kb5003435-028bd051-b2f1-4310-8f35-c41c9ce5a2f1

[7] https://www.huntress.com/blog/rapid-response-microsoft-exchange-servers-still-vulnerable-to-proxyshell-exploit