Опубликован первый функциональный PoC-эксплоит для уязвимостей ProxyLogon

Вьетнамский исследователь безопасности опубликовал на GitHub первый функциональный PoC-эксплоит для группы уязвимостей в Microsoft Exchange под названием ProxyLogon, в течение последней недели активно эксплуатируемых хакерами всех мастей.

За последние несколько дней на GitHub было опубликовано несколько PoC-эксплоитов для ProxyLogon, но они либо были поддельными, либо не работали как положено. Однако инструмент, представленный вьетнамским исследователем, является полностью рабочим. Подлинность эксплоита уже подтвердил известный исследователь безопасности Маркус Хатчинс (Marcus Hutchins).

«Подтверждаю наличие PoC-эксплоита для полной цепочки эксплуатации уязвимостей удаленного выполнения кода. В нем есть несколько багов, но с несколькими исправлениями мне удалось установить оболочку на мой тестовый бокс», - сообщил Хатчинс.

Инструмент позволяет проэксплуатировать связку уязвимостей CVE-2021-26855 и CVE-2021-27065, авторизоваться на сервере Microsoft Exchange и запустить вредоносный код. В своем нынешнем виде PoC-эксплоит использовать невозможно, но его очень легко отрегулировать, чтобы выполнить код.

Вьетнамский исследователь выложил свой инструмент в Сеть сразу после выхода подробного описания уязвимостей ProxyLogon от ИБ-компании Praetorian, которая решила не публиковать собственный PoC-эксплоит. Многие ИБ-эксперты критикуют решение Praetorian обнародовать свое описание прямо сейчас и считают, что оно может сыграть на руку хакерам.