Бесплатно Экспресс-аудит сайта:

24.11.2021

Для новой уязвимости в Microsoft Exchange стал доступен PoC-эксплоит

Для недавно исправленной уязвимости нулевого дня в серверах Microsoft Exchange стал доступен PoC-эксплоит.

Уязвимость CVE-2021-42321 затрагивает локальные установки Exchange Server 2016 и Exchange Server 2019 (в том числе, если используется режим Exchange Hybrid) и была исправлена Microsoft с выходом плановых ноябрьских обновлений. Успешная эксплуатация позволяет авторизованному злоумышленнику удаленно выполнить код на уязвимых серверах Exchange.

В воскресенье, 21 ноября, через две недели после выхода исправления для CVE-2021-42321, исследователь под псевдонимом Janggggg опубликовал PoC-эксплоит для нее.

"Этот PoC-эксплоит вызывает mspaint.exe на атакуемой системе, его можно использовать для распознавания сигнатуры успешной атаки", - сообщил Janggggg.

"Нам известно об ограниченных целенаправленных атаках с помощью одной из уязвимостей (CVE-2021-42321), представляющей собой пост-аутентификационную уязвимость в Exchange 2016 и 2019", - сообщила Microsoft, добавив, что системным администраторам нужно как можно скорее установить исправления.

Для того чтобы проверить, подверглись ли уязвимые серверы Exchange атаке через уязвимость CVE-2021-42321, нужно запустить на нем следующий запрос PowerShell:

Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*" }