![ProxyNotShell Zero-Day-Minderungen können umgangen werden [CVE-2022-41040]](https://cdn.sensorstechforum.com/wp-content/uploads/2022/06/software-vulnerability-alert-sensorstechforum-1024x585.jpg)
Zwei neu Zero-Day Schwachstellen in Microsoft Exchange wurden kürzlich von Microsoft- und GTSC-Forschern gemeldet. Die beiden Schwachstellen, identifiziert als CVE-2022-41040 und CVE-2022-41082, werden zusammenfassend als ProxyNotShell-Exploit bezeichnet.
CVE-2022-41040 ist ein serverseitiges Anforderungsfälschungsproblem, das von einem authentifizierten Angreifer ausgenutzt werden kann, um es mit CVE-2022-41082 zu verketten. Die zweite Schwachstelle ist a Remotecodeausführung Problem, das es Bedrohungsakteuren ermöglicht, Powershell-Befehle auf einem anfälligen Powershell-Server remote auszuführen. Ursprünglich, Microsoft sagte, dass Bedrohungsakteure bereits gegenüber dem Zielserver authentifiziert sein müssen, damit der Angriff erfolgreich ist. Diese Bedingung macht einen ProxyNotShell-Angriff weniger gefährlich als die ProxyLogin-Schwachstelle, im Frühjahr entdeckt 2021.
Wie wurden die ProxyNotShell-Schwachstellen entdeckt??
GTSC-Forscher sagen, dass sie erstmals im August auf ungewöhnliches Verhalten gestoßen sind 2022 die die beiden Schwachstellen aufdeckte. Offenbar, Sie wurden von einem chinesischen Bedrohungsakteur in freier Wildbahn eingesetzt. Der Angreifer versuchte, die Internetinformationsdienste von Microsoft zu nutzen (IIS). Es ist zu beachten, dass IIS die Front-End-Webkomponente von Outlook Web Access hostet (OWA) und verwendet das gleiche Format wie die ProxyShell-Schwachstelle. Einmal wurde ein Server verletzt, Der Angreifer setzte Antsword ein, ein chinesisches Open-Source-Web-Admin-Tool, das auch als Web-Shell verwendet werden kann.
Kann CVE-2022-41040, CVE-2022-41082 gemildert werden?
Da Microsoft über begrenzte Angriffe informiert ist, müssen noch Patches veröffentlicht werden, Es wurden mehrere Problemumgehungen vorgeschlagen, einschließlich einer URL-Umschreibungsregel und Blockierungsminderungen. Jedoch, kurz nachdem die Abschwächungen veröffentlicht wurden, Es stellte sich heraus, dass sie umgangen werden konnten.
Laut dem Sicherheitsforscher Jang, das URL-Muster kann einfach umgangen werden. Die Blockabschwächungen sind ebenfalls unzureichend, laut dem Senior Vulnerability Analyst Will Dormann.
Microsoft rät betroffenen Kunden, den Abschnitt zu Schadensbegrenzungen zu lesen und eine der folgenden aktualisierten Optionen zur Schadensbegrenzung anzuwenden:
- Die EEMS-Regel wird aktualisiert und automatisch angewendet.
- Das zuvor bereitgestellte EOMTv2-Skript wurde aktualisiert, um die URL-Rewrite-Verbesserung einzuschließen.
- Die Anweisungen für die URL-Rewrite-Regel wurden aktualisiert. Die Zeichenfolge im Schritt 6 und Schritt 9 wurde überarbeitet. Schritte 8, 9, und 10 habe aktualisierte Bilder.
“Wir empfehlen Exchange Server-Kunden dringend, den PowerShell-Remotezugriff für Benutzer ohne Administratorrechte in Ihrer Organisation zu deaktivieren. Anleitungen dazu, wie Sie dies für einzelne Benutzer oder mehrere Benutzer tun können, finden Sie hier,” Microsoft hinzugefügt.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: