Deux nouveaux zero-day des vulnérabilités dans Microsoft Exchange ont été récemment signalées par des chercheurs de Microsoft et de GTSC. Les deux vulnérabilités, identifié comme CVE-2022-41040 et CVE-2022-41082, sont connus collectivement sous le nom d'exploit ProxyNotShell.
CVE-2022-41040 est un problème de falsification de requête côté serveur qui peut être exploité par un attaquant authentifié pour s'enchaîner avec CVE-2022-41082. La deuxième vulnérabilité est une exécution de code distant problème permettant aux pirates d'exécuter à distance des commandes Powershell sur un serveur Powershell vulnérable. Initialement, Microsoft a déclaré que les acteurs de la menace doivent déjà être authentifiés auprès du serveur ciblé pour que l'attaque réussisse. Cette condition rend une attaque ProxyNotShell moins dangereuse que la vulnérabilité ProxyLogin, découverte au printemps de 2021.
Comment les vulnérabilités de ProxyNotShell ont-elles été découvertes?
Les chercheurs du GTSC disent qu'ils ont découvert un comportement inhabituel pour la première fois en août 2022 qui a révélé les deux vulnérabilités. Apparemment, ils ont été utilisés dans la nature par un acteur menaçant chinois. L'auteur de la menace tentait d'exploiter les services d'information Internet de Microsoft (IIS). Il convient de noter que IIS héberge le composant Web frontal d'Outlook Web Access (OWA) et utilise le même format que la vulnérabilité ProxyShell. Une fois qu'un serveur a été piraté, l'attaquant a déployé Antsword, un outil d'administration Web open-source chinois qui peut également être utilisé comme un shell Web.
Peut CVE-2022-41040, CVE-2022-41082 Être atténué?
Étant donné que Microsoft est au courant d'attaques limitées et que des correctifs n'ont pas encore été publiés, plusieurs solutions de contournement ont été proposées, y compris une règle de réécriture d'URL et des atténuations de blocage. Cependant, peu de temps après la publication des mesures d'atténuation, il s'est avéré qu'ils pouvaient être contournés.
Selon un chercheur en sécurité connu sous le nom de Jang, le modèle d'URL peut être contourné facilement. Les atténuations de bloc sont également insuffisantes, selon Will Dormann, analyste principal des vulnérabilités.
Microsoft conseille aux clients concernés de consulter la section Atténuations et d'appliquer l'une des options d'atténuation mises à jour suivantes:
- La règle EEMS est mise à jour et est automatiquement appliquée.
- Le script EOMTv2 fourni précédemment a été mis à jour pour inclure l'amélioration de la réécriture d'URL.
- Les instructions de la règle de réécriture d'URL ont été mises à jour. La chaîne en marche 6 et étape 9 a été révisé. Pas 8, 9, et 10 avoir des images mises à jour.
“Nous recommandons vivement aux clients Exchange Server de désactiver l'accès PowerShell à distance pour les utilisateurs non administrateurs de votre organisation.. Des conseils sur la façon de procéder pour un seul utilisateur ou plusieurs utilisateurs sont disponibles ici,” Microsoft a ajouté.