idNSA.id - Peneliti Janggggg telah menerbitkan pada hari Minggu kode eksploitasi bukti konsep untuk kerentanan yang dieksploitasi secara aktif, dilacak sebagai CVE-2021-42321 , di server Microsoft Exchange.
CVE-2.021-42.321 adalah kode jauh masalah eksekusi tinggi keparahan yang terjadi akibat validasi tidak tepat argumen cmdlet. Microsoft menunjukkan bahwa cacat tersebut hanya dapat dieksploitasi oleh penyerang yang diautentikasi.
Microsoft mengatasi kelemahan tersebut dengan merilis pembaruan keamanan Microsoft Patch Tuesday untuk November 2021, kerentanan tersebut berdampak pada Exchange Server 2016 dan Exchange Server 2019 lokal.
“Kami menyadari serangan bertarget terbatas di publik menggunakan salah satu kerentanan (CVE-2021-42321), yang merupakan kerentanan pasca-otentikasi di Exchange 2016 dan 2019. Rekomendasi kami adalah menginstal pembaruan ini segera untuk melindungi lingkungan Anda.” membaca pengumuman yang diterbitkan oleh Microsoft. “Kerentanan ini memengaruhi Microsoft Exchange Server lokal, termasuk server yang digunakan oleh pelanggan dalam mode Exchange Hybrid. Pelanggan Exchange Online sudah terlindungi dan tidak perlu melakukan tindakan apa pun.”
“Seperti yang diminta banyak ppl, Ini PoC CVE-2021-42321, Exchange Post-Auth RCE PoC ini hanya pop mspaint.exe pada target, dapat digunakan untuk mengenali pola tanda tangan dari peristiwa serangan yang berhasil” tulis peneliti di Twitter.
Menurut bagian FAQ yang disertakan dalam Pembaruan Keamanan Server Exchange November 2021, pengguna dapat memeriksa apakah eksploitasi dicoba di server mereka sebelum perbaikan untuk CVE-2021-42321 dilakukan dengan menjalankan kueri PowerShell berikut di server Exchange mereka untuk memeriksa peristiwa tertentu di Log Peristiwa:
Get-WinEvent -FilterHashtable @{ LogName='Application'; ProviderName='MSExchange Umum'; Tingkat=2 } | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*" }
Tidak ada waktu untuk disia-siakan, para ahli sudah mengamati aktor ancaman yang memindai web untuk pemasangan yang rentan dan upaya eksploitasi.
Dalam beberapa bulan terakhir, kami mengamati sejumlah besar serangan yang ditujukan untuk penginstalan Microsoft Exchange yang dilakukan oleh aktor negara-bangsa dan penyerang yang bermotivasi finansial , oleh karena itu, penting untuk segera menginstal pembaruan terbaru.
