# CVE-2021-34523 > [!critical] ProxyShell - Elevação de Privilégio no Microsoft Exchange (Backend) > CVE-2021-34523 é um dos três componentes do conjunto **ProxyShell**, que quando encadeado com CVE-2021-34473 e CVE-2021-31207 permite RCE não autenticado no Microsoft Exchange. Esta CVE específica trata da elevação de privilégio no backend do Exchange via mecanismo de representação. ## Visão Geral CVE-2021-34523 é parte integrante da cadeia **ProxyShell**, conjunto de três vulnerabilidades no Microsoft Exchange Server divulgadas e demonstradas na conferência Black Hat USA 2021 pelo pesquisador Orange Tsai. A falha permite que um atacante abuse do mecanismo de impersonation do Exchange para elevar privilégios e executar operações com permissões de SYSTEM. Isoladamente, o impacto é de elevação de privilégio. Combinada com [[cve-2021-34473|CVE-2021-34473]] (SSRF no frontend) e [[cve-2021-31207|CVE-2021-31207]] (escrita arbitrária de arquivo), forma uma cadeia de ataque que resulta em RCE completo sem autenticação. Grupos de ransomware como **BianLian** e **LockBit** foram observados explorando a cadeia ProxyShell extensivamente após a divulgação pública. A relevância para organizações é extrema: Exchange é o servidor de e-mail corporativo mais utilizado no mundo, e o comprometimento representa acesso a todas as comúnicações internas, agenda e informações confidenciais da organização. > [!latam] Relevância para Brasil e LATAM > O Microsoft Exchange é o servidor de e-mail dominante em grandes corporações brasileiras, bancos, governo e infraestrutura crítica. A cadeia ProxyShell foi explorada em ataques a organizações latinoamericanas, com grupos de ransomware utilizando o acesso inicial para instalar backdoors e executar exfiltração de dados antes do ciframento. ## Detalhes Técnicos | Campo | Detalhe | |-------|---------| | Tipo | Privilege Escalation (impersonation) | | Componente | Microsoft Exchange Backend | | Encadeamento | CVE-2021-34473 + CVE-2021-34523 + CVE-2021-31207 = ProxyShell RCE | | CVSS | 9.8 (Critical) | | CISA KEV | Sim (2021-11-03) | ## TTPs Relacionadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1505-003-web-shell|T1505.003 - Web Shell]] - [[t1114-email-collection|T1114 - Email Collection]] ## Mitigação - Aplicar os patches cumulativos de julho 2021 para Exchange (KB5004779, KB5004780, KB5004781) - Verificar instalação de web shells em diretórios do Exchange após a exposição - Auditar logs de acesso ao autodiscover e Exchange Web Services (EWS) - Implementar [[m1051-update-software|M1051 - Update Software]] e [[m1042-disable-or-remove-feature|M1042 - Disable or Remove Feature or Program]] - Segmentar acesso externo ao Exchange com autenticação multifator ## Referências - [Orange Tsai - ProxyShell Black Hat 2021](https://www.blackhat.com/us-21/briefings/schedule/#proxylogon-is-just-the-tip-of-the-iceberg-23186) - [CISA KEV - CVE-2021-34523](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Microsoft Security Update - Exchange](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34523) - [NVD - CVE-2021-34523](https://nvd.nist.gov/vuln/detail/CVE-2021-34523)