A falha começou a ser explorada de forma mais ativa a partir do momento que os detalhes técnicos foram discutidas na Black Hat deste ano.

A ProxyShell é uma falha que representa o conjunto de três vulnerabilidades que podem ser preenchidas por um atacante não autenticado e de forma remota para conseguir execução de código remota.

CVE-2021-34473 – Pre-auth Path Confusion leva à ultrapassagem da ACL (Corrigida em abril pela KB5001779)

CVE-2021-34523 – Elevação de privilégio no Backend do Exchange Powershell (Corrigida em em abril pela KB5001779)

CVE-2021-31207 – Escrita de ficheiros Post-auth para RCE (Corrigida em maio pela KB5003435)

Particular atenção nos logs para a string "/autodiscover/autodiscover.json" ou "/mapi/nspi/", que são um forte indicador de que os servidore estão sobre ataque

Solução

Instalar as atualizações de acordo com o guia oficial da microsoft

Mais informações: https://www.securityweek.com/internet-scanned-microsoft-exchange-servers-vulnerable-proxyshell-attacks

Blogue oficial da Microsoft com as atualizações: https://docs.microsoft.com/en-us/exchange/plan-and-deploy/install-cumulative-updates?view=exchserver-2019