„Společnost Microsoft loni vydala na zranitelnost záplaty, takže by se mohlo zdát, že problém je vyřešen. Realita je však složitější. Po celém světě je stále mnoho serverů MS Exchange, které nebyly záplatovány nebo aktualizovány. MS Exchange je mimořádně rozšířený software, což zvyšuje pravděpodobnost, že se útočníkům podaří najít nějaký nezáplatovaný server a tuto zranitelnost využít ve svůj prospěch. Útočníci při takto závažné zranitelnosti mohou napáchat obrovské škody,“ říká Miroslav Dvořák, technický ředitel české pobočky společnosti ESET.

Zranitelnost označovaná jako ProxyShell navazuje na již dříve odhalenou zranitelnost ProxyLogon, která způsobila poplach mezi odborníky na kybernetickou bezpečnost začátkem roku 2021.

„Obě zranitelnosti souvisí se službou Microsoft Exchange, v případě novější objevené zranitelnosti ProxyShell útočníci zneužívají chybu ve vrstvě Client Access Service (CAS), kterou Microsoft původně přidal k lepší ochraně e-mailových serverů. V obou případech je znepokojující to, že zranitelnosti umožňují vzdálené spouštění kódu bez přístupových údajů k serveru,“ vysvětluje Dvořák.

Zločinecké APT skupiny zřejmě využily zranitelnost ProxyShell k instalaci kódu webshell na e-mailové servery obětí. Po zneužití zranitelnosti a nasazení webshellu se podle pozorování snažily na servery nainstalovat další škodlivý kód. Telemetrická data poukazují na masové zneužívání zranitelnosti v celosvětovém měřítku, přičemž nejvyšší výskyt případů byl zaznamenán ve Spojených státech a Německu. Zranitelnosti serveru MS Exchange se přitom týkají také České republiky, kde se v minulosti již objevily případy jejich zneužití. Bezpečnostní specialisté v Česku nadále evidují několik stovek serverů bez záplat, které zůstávají potenciální hrozbou.

Informace ke zranitelnosti ProxyShell v MS Exchange, včetně dalších bezpečnostních analýz, se nachází v aktuálním vydání studie o kybernetických hrozbách ESET Threat Report T3 2021.