cve-2021-26855 - RunkIntel

# CVE-2021-26855 > [!critical] ProxyLogon - SSRF Crítico no Microsoft Exchange (Exploração em Massa) > CVE-2021-26855 é a vulnerabilidade central do conjunto **ProxyLogon**, um dos ataques de maior escala na história do Microsoft Exchange. O SSRF pré-autenticado foi explorado por múltiplos grupos APT simultaneamente antes mesmo do patch público, afetando centenas de milhares de servidores globalmente. ## Visão Geral CVE-2021-26855 é um Server-Side Request Forgery (SSRF) no Microsoft Exchange Server que permite a um atacante remoto não autenticado enviar requisições HTTP arbitrárias se autenticando como o servidor Exchange. A vulnerabilidade está no mecanismo de autenticação explícita do Exchange Client Access Services (CAS). Divulgada em março de 2021 pela Microsoft em conjunto com patches de emergência, a falha foi explorada ativamente por múltiplos grupos APT antes da divulgação - incluindo **HAFNIUM** (Silk Typhoon / UNC2204), patrocinado pelo estado chinês. Em conjunto com [[cve-2021-27065|CVE-2021-27065]] (escrita de arquivo), forma a cadeia ProxyLogon que resulta em RCE completo. O impacto global foi catastrófico: em 48 horas após o patch, centenas de milhares de servidores Exchange foram comprometidos. A CISA emitiu diretiva de emergência para agências federais dos EUA. Múltiplos grupos APT e criminosos correram para instalar web shells antes que organizações aplicassem os patches. > [!latam] Relevância para Brasil e LATAM > Servidores Exchange de organizações governamentais e empresariais brasileiras foram identificados como alvo durante a onda de exploração em massa de março de 2021. O CERT.br emitiu alertas específicos. Grupos como GALLIUM, com histórico de operações na América Latina, também foram associados à exploração da vulnerabilidade na região. ## Detalhes Técnicos | Campo | Detalhe | |-------|---------| | Tipo | SSRF pre-autenticado | | Componente | Exchange Client Access Services (CAS) | | Mecanismo | Autenticação explícita via cookie `X-AnonResource-Backend` | | Encadeamento | CVE-2021-26855 + CVE-2021-27065 = ProxyLogon RCE | | CVSS | 9.8 (Critical) | | CISA KEV | Sim (2021-11-03) | ## TTPs Relacionadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1505-003-web-shell|T1505.003 - Web Shell]] - [[t1114-email-collection|T1114 - Email Collection]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] ## Mitigação - Aplicar Emergency Out-of-Band patches da Microsoft de março de 2021 imediatamente - Executar o Microsoft IOC Detection Tool (EOMT) para identificar comprometimento - Auditar diretórios `/owa/auth/` e `/ecp/` por web shells - Monitorar logs de IIS para padrões de acesso com cookie `X-AnonResource-Backend` anômalo - Implementar [[m1050-exploit-protection|M1050 - Exploit Protection]] e [[m1051-update-software|M1051 - Update Software]] ## Referências - [Microsoft Security Blog - ProxyLogon](https://www.microsoft.com/en-us/security/blog/2021/03/02/hafnium-targeting-exchange-servers/) - [CISA Emergency Directive ED 21-02](https://www.cisa.gov/emergency-directive-21-02) - [CISA KEV - CVE-2021-26855](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [NVD - CVE-2021-26855](https://nvd.nist.gov/vuln/detail/CVE-2021-26855)