Badan Keamanan Cybersecurity dan Infrastruktur Amerika telah memperingatkan upaya eksploitasi aktif dalam memanfaatkan kerentanan Microsoft Exchange, “ProxyShell” dengan patch terbaru, termasuk menyebarkan ransomware LockFile pada sistem yang disusupi.
Dilacak sebagai CVE-2021-34473, CVE-2021-34523 dan CVE-2021-31207, kerentanan ini memungkinkan musuh untuk melewati kontrol ACL, meningkatkan hak istimewa pada backend Exchange membuat PowerShell abnormal, penyerang secara efektif dapat melakukan eksekusi kode jarak jauh tanpa autentikasi.
Sementara dua yang pertama telah ditangani oleh Microsoft pada 13 April, patch untuk CVE-2021-31207 dikirimkan sebagai bagian dari pembaruan May Patch Tuesday dari pembuat Windows.
“Seorang penyerang yang mengeksploitasi kerentanan ini dapat mengeksekusi kode arbitrer pada mesin yang rentan,” kata CISA.
Perkembangan ini terjadi lebih dari seminggu setelah peneliti keamanan siber membunyikan alarm tentang pemindaian oportunistik dan eksploitasi server Exchange yang belum di-patch dengan memanfaatkan rantai serangan ProxyShell.
Awalnya ditunjukkan pada kontes peretasan Pwn2Own di April ini. ProxyShell adalah bagian dari trio rantai eksploitasi yang lebih luas.
ProxyShell ditemukan peneliti keamanan DEVCORE Orange Tsai yang mencakup ProxyLogon dan ProxyOracle, terakhir menyangkut dua kelemahan eksekusi kode jarak jauh yang bisa digunakan untuk memulihkan kata sandi pengguna dalam format teks biasa.
“Mereka adalah kotak backdooring dengan webshell yang menjatuhkan webshell lain dan juga executable yang memanggil secara berkala,” kata peneliti Kevin Beaumont.
Menurut peneliti dari Huntress Labs, ada 5 macam webshell yang berbeda telah diamati saat ditunjukkan ke server Microsoft Exchange yang rentan, dengan lebih dari 100 insiden dilaporkan terkait dengan eksploitasi antara 17 dan 18 Agustus.
Webshell memberikan penyerang akses jarak jauh ke server yang disusupi, tetapi masih belum jelas secara pasti apa tujuannya atau sejauh mana semua kelemahan digunakan.
Telah terdeteksi 140 lebih webshell dan tidak kurang dari 1.900 server Exchanger yang belum dipatch hingga saat ini.
CEO Huntress Labs Kyle Hanslovan menulis tweet, “perusahaan yang terkena dampak sejauh ini termasuk manufaktur bangunan, pengolah makanan laut, mesin industri, bengkel mobil, bandara kecil dan banyak lagi.”
Hindari Powershell Abnormal dengan Patch Management
Bitdefender memiliki Patch Management di mana kita bisa mengupdate software kita tepat di domain yang sah.
Patch Management menyiapkan sistem operasi, aplikasi software dan memberikan tampilan komprehensif tentang status patch untuk endpoint kita.
Patch Management juga sudah mencakup beberapa fitur, seperti pemindaian patch sesuai permintaan/terjadwal, patch otomatis/manual dan pelaporan patch yang hilang.
Keuntungan yang akan kita dapatkan di Bitdefender Patch Management
- Keamanan dan kepatuhan, Proses patch otomatis dan efisien, semuanya ada di satu konsol manajemen
- Dapat memastikan kelangsungan bisnis, efisiensi dan kepatuhan, jarak jauh atau di tempat dengan tidak membiarkan software yang tidak dikirim atau kerentanan (diketahui) menjadi faktor kunci gangguan
- Mengurangi risiko terhadap serangan lanjutan dan memberikan kepatuhan patch OS dan aplikasi telah menjadi prioritas tinggi bagi tim IT
- Menyediakan proses patch otomatis dan efisien secara otomatis patch, di tempat atau jarak jauh dan satu sumber patch tunggal untuk Windows juga aplikasi pihak ketiga.
Security for Exchange Bitdefender menyediakan antispam dan antimalware peringkat teratas untuk server email, memastikan lingkungan email yang aman dengan konsumsi sumber daya minimal.
Tidak seperti solusi tradisional yang meningkatkan beban server email, Bitdefender menggabungkan semua layanan keamanan yang dibutuhkan perusahaan ke dalam satu platform pengiriman dan dapat memindahkan tugas keamanan dari server dan endpoint ke peralatan virtual keamanan.
Recent Comments