![ProxyNotShell Zero-Day Mitigations kan omgås [CVE-2022-41040]](https://cdn.sensorstechforum.com/wp-content/uploads/2022/06/software-vulnerability-alert-sensorstechforum-1024x585.jpg)
To nye zero-day sårbarheder i Microsoft Exchange blev for nylig rapporteret af Microsoft og GTSC-forskere. De to sårbarheder, identificeret som CVE-2022-41040 og CVE-2022-41082, er kendt under ét som ProxyNotShell-udnyttelsen.
CVE-2022-41040 er et problem med forfalskning af anmodninger på serversiden, som kan udnyttes af en godkendt angriber til at kæde sammen med CVE-2022-41082. Den anden sårbarhed er en fjernkørsel af programkode problem, der tillader trusselsaktører at eksternt udføre Powershell-kommandoer på en sårbar Powershell-server. Oprindeligt, Microsoft sagde, at trusselsaktører allerede skal være godkendt til den målrettede server for at angrebet skal lykkes. Denne betingelse gør et ProxyNotShell-angreb mindre farligt end ProxyLogin-sårbarheden, opdaget i foråret 2021.
Hvordan blev ProxyNotShell-sårbarhederne opdaget?
GTSC-forskere siger, at de først stødte på usædvanlig adfærd i august 2022 som afslørede de to sårbarheder. Tilsyneladende, de blev brugt i naturen af en kinesisk trusselskuespiller. Trusselsaktøren forsøgte at udnytte Microsofts Internet Information Services (IIS). Det skal bemærkes, at IIS er vært for frontend-webkomponenten i Outlook Web Access (OWA) og bruger samme format som ProxyShell-sårbarheden. Engang blev en server brudt, angriberen indsatte Antsword, et kinesisk open source webadministrationsværktøj, der også kan bruges som en web-shell.
Kan CVE-2022-41040, CVE-2022-41082 Bekæmpes?
Da Microsoft er opmærksom på begrænsede angreb, og patches mangler endnu at blive frigivet, flere løsninger blev foreslået, inklusive en URL-omskrivningsregel og blokeringsbegrænsninger. Men, kort efter, at afbødningerne blev frigivet, det viste sig, at de kunne omgås.
Ifølge sikkerhedsforsker kendt som Jang, URL-mønsteret kan nemt omgås. Blokeringsafbødningerne er også utilstrækkelige, ifølge senior sårbarhedsanalytiker Will Dormann.
Microsoft råder berørte kunder til at gennemgå afsnittet Reduktioner og anvende en af følgende opdaterede begrænsningsmuligheder:
- EEMS-reglen opdateres og anvendes automatisk.
- Det tidligere leverede EOMTv2-script er blevet opdateret til at inkludere URL Rewrite-forbedringen.
- Instruktionerne for URL Rewrite-reglen er blevet opdateret. Snoren i trin 6 og trin 9 er blevet revideret. Steps 8, 9, og 10 har opdaterede billeder.
“Vi anbefaler på det kraftigste, at Exchange Server-kunder deaktiverer ekstern PowerShell-adgang for ikke-administratorbrugere i din organisation. Vejledning om, hvordan du gør dette for en enkelt bruger eller flere brugere, er tilgængelig her,” Microsoft tilføjede.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: