![Se pueden omitir las mitigaciones de día cero de ProxyNotShell [CVE-2022-41040]](https://cdn.sensorstechforum.com/wp-content/uploads/2022/06/software-vulnerability-alert-sensorstechforum-1024x585.jpg)
dos nuevos Día cero Las vulnerabilidades en Microsoft Exchange fueron reportadas recientemente por investigadores de Microsoft y GTSC. Las dos vulnerabilidades, identificado como CVE-2022-41040 y CVE-2022-41082, se conocen colectivamente como el exploit ProxyNotShell.
CVE-2022-41040 es un problema de falsificación de solicitud del lado del servidor que puede ser explotado por un atacante autenticado para encadenarlo con CVE-2022-41082. La segunda vulnerabilidad es una ejecución remota de código problema que permite a los actores de amenazas ejecutar de forma remota comandos de Powershell en un servidor Powershell vulnerable. Inicialmente, Microsoft dijo que los actores de amenazas ya deben estar autenticados en el servidor de destino para que el ataque tenga éxito.. Esta condición hace que un ataque ProxyNotShell sea menos peligroso que la vulnerabilidad ProxyLogin, descubierto en la primavera de 2021.
¿Cómo se descubrieron las vulnerabilidades de ProxyNotShell??
Los investigadores de GTSC dicen que se encontraron por primera vez con un comportamiento inusual en agosto 2022 que reveló las dos vulnerabilidades. Al parecer,, fueron utilizados en la naturaleza por un actor de amenazas chino. El actor de amenazas estaba intentando aprovechar los servicios de información de Internet de Microsoft (IIS). Cabe señalar que IIS aloja el componente web front-end de Outlook Web Access (OWA) y usa el mismo formato que la vulnerabilidad ProxyShell. Una vez que un servidor fue violado, el atacante desplegó Antsword, una herramienta de administración web china de código abierto que también se puede usar como shell web.
Puede CVE-2022-41040, CVE-2022-41082 ser mitigado?
Dado que Microsoft es consciente de los ataques limitados y los parches aún no se han lanzado, se propusieron varias soluciones, incluida una regla de reescritura de URL y mitigaciones de bloqueo. Sin embargo, poco después de que se publicaran las mitigaciones, Resultó que podían pasarse por alto..
Según el investigador de seguridad conocido como Jang, el patrón de URL se puede omitir fácilmente. Las mitigaciones del bloque también son insuficientes., según el analista sénior de vulnerabilidades Will Dormann.
Microsoft aconseja a los clientes afectados que revisen la sección Mitigaciones y apliquen una de las siguientes opciones de mitigación actualizadas:
- La regla EEMS se actualiza y se aplica automáticamente.
- El script EOMTv2 proporcionado anteriormente se ha actualizado para incluir la mejora de reescritura de URL.
- Las instrucciones de la regla de reescritura de URL se han actualizado. La cuerda en el paso 6 y paso 9 ha sido revisado. Pasos 8, 9, y 10 tener imagenes actualizadas.
“Recomendamos encarecidamente a los clientes de Exchange Server que deshabiliten el acceso remoto a PowerShell para los usuarios que no sean administradores de su organización.. La guía sobre cómo hacer esto para un solo usuario o múltiples usuarios está disponible aquí,” microsoft añadió.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: