# CVE-2021-34473 > [!critical] ProxyShell - SSRF e Path Confusion no Microsoft Exchange Frontend > CVE-2021-34473 é a primeira peça da cadeia ProxyShell: uma vulnerabilidade de confusão de URL/path no frontend do Exchange que permite SSRF (Server-Side Request Forgery) pré-autenticado, possibilitando que um atacante acesse o backend do servidor sem credenciais. ## Visão Geral CVE-2021-34473 é o ponto de entrada da cadeia de ataque **ProxyShell** no Microsoft Exchange. A falha explora uma confusão no processamento de URLs pelo componente frontend do Exchange (Client Access Services - CAS), onde um prefixo de URL malformado como `/autodiscover/[email protected]/` engana o servidor a processar a requisição como se fosse autenticada, encaminhando-a ao backend com as permissões do processo interno. Essa vulnerabilidade SSRF pré-autenticada permite que o atacante alcance endpoints do backend normalmente inacessíveis externamente. Combinada com [[cve-2021-34523|CVE-2021-34523]] (elevação de privilégio) e [[cve-2021-31207|CVE-2021-31207]] (escrita de arquivo), forma a cadeia completa ProxyShell que resulta em RCE sem autenticação. O impacto se manifesta principalmente como ponto de entrada para campanhas de ransomware e espionagem. Grupos como **BianLian** utilizaram ProxyShell sistematicamente para comprometer organizações antes de instalar ferramentas de movimento lateral e exfiltração. > [!latam] Relevância para Brasil e LATAM > Servidores Exchange expostos à internet sem patching adequado continuam sendo alvo recorrente na América Latina. A vulnerabilidade foi identificada em servidores de organizações governamentais e empresas de médio porte brasileiras. A cadeia ProxyShell permite comprometimento silencioso antes mesmo que os defensores identifiquem atividade suspeita. ## Detalhes Técnicos | Campo | Detalhe | |-------|---------| | Tipo | SSRF / URL Path Confusion (pre-auth) | | Componente | Exchange Frontend (CAS) | | Endpoint vulnerável | `/autodiscover/autodiscover.json` | | Encadeamento | CVE-2021-34473 → CVE-2021-34523 → CVE-2021-31207 | | CVSS | 9.1 (Critical) | | CISA KEV | Sim (2021-11-03) | ## TTPs Relacionadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1071-001-web-protocols|T1071.001 - Application Layer Protocol: Web Protocols]] - [[t1505-003-web-shell|T1505.003 - Web Shell]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] ## Mitigação - Aplicar patches cumulativos Microsoft de julho 2021 para Exchange (KB5004779) - Monitorar acessos ao endpoint `/autodiscover/` com user-agent incomum - Bloquear acesso externo ao Exchange CAS via firewall exceto portas necessárias - Implementar [[m1051-update-software|M1051 - Update Software]] com ciclo de patching de emergência para Exchange - Auditar web shells com [[m1022-restrict-file-and-directory-permissions|M1022 - Restrict File and Directory Permissions]] ## Referências - [Orange Tsai - ProxyShell Writeup](https://devco.re/blog/2021/08/06/a-new-attack-surface-on-ms-exchange-part-4-ProxyShell/) - [CISA KEV - CVE-2021-34473](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Microsoft Security Update Guide](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34473) - [NVD - CVE-2021-34473](https://nvd.nist.gov/vuln/detail/CVE-2021-34473)