![Le mitigazioni Zero-Day di ProxyNotShell possono essere aggirate [CVE-2022-41040]](https://cdn.sensorstechforum.com/wp-content/uploads/2022/06/software-vulnerability-alert-sensorstechforum-1024x585.jpg)
Due nuovi zero-day vulnerabilità in Microsoft Exchange sono state recentemente segnalate da ricercatori Microsoft e GTSC. Le due vulnerabilità, identificato come CVE-2022-41040 e CVE-2022-41082, sono noti collettivamente come exploit ProxyNotShell.
CVE-2022-41040 è un problema di falsificazione delle richieste lato server che può essere sfruttato da un utente malintenzionato autenticato per concatenarsi con CVE-2022-41082. La seconda vulnerabilità è a esecuzione di codice remoto problema che consente agli attori delle minacce di eseguire in remoto i comandi Powershell su un server Powershell vulnerabile. Inizialmente, Microsoft ha affermato che gli attori delle minacce devono essere già autenticati sul server di destinazione affinché l'attacco abbia successo. Questa condizione rende un attacco ProxyNotShell meno pericoloso della vulnerabilità ProxyLogin, scoperto nella primavera del 2021.
Come sono state scoperte le vulnerabilità di ProxyNotShell?
I ricercatori GTSC affermano di essersi imbattuti per la prima volta in comportamenti insoliti ad agosto 2022 che ha rivelato le due vulnerabilità. Apparentemente, sono stati usati in natura da un attore di minacce cinesi. L'attore della minaccia stava tentando di sfruttare gli Internet Information Services di Microsoft (IIS). Va notato che IIS ospita il componente Web front-end di Outlook Web Access (OWA) e utilizza lo stesso formato della vulnerabilità di ProxyShell. Una volta che un server è stato violato, l'attaccante ha schierato Antsword, uno strumento di amministrazione web open source cinese che può essere utilizzato anche come shell web.
Può CVE-2022-41040, CVE-2022-41082 Sii mitigato?
Poiché Microsoft è a conoscenza di attacchi limitati e le patch devono ancora essere rilasciate, sono state proposte diverse soluzioni alternative, inclusa una regola di riscrittura degli URL e attenuazioni dei blocchi. Tuttavia, poco dopo il rilascio delle mitigazioni, si è scoperto che potevano essere aggirati.
Secondo il ricercatore di sicurezza noto come Jang, il pattern URL può essere aggirato facilmente. Anche le attenuazioni dei blocchi sono insufficienti, secondo Will Dormann, analista di vulnerabilità senior.
Microsoft consiglia ai clienti interessati di esaminare la sezione Mitigazioni e applicare una delle seguenti opzioni di mitigazione aggiornate:
- La regola EEMS viene aggiornata e viene applicata automaticamente.
- Lo script EOMTv2 fornito in precedenza è stato aggiornato per includere il miglioramento della riscrittura degli URL.
- Le istruzioni per la regola di riscrittura degli URL sono state aggiornate. La stringa al passo 6 e passo 9 è stato rivisto. passi 8, 9, e 10 avere immagini aggiornate.
“Consigliamo vivamente ai clienti di Exchange Server di disabilitare l'accesso remoto a PowerShell per gli utenti non amministratori nell'organizzazione. La guida su come eseguire questa operazione per un singolo utente o più utenti è disponibile qui,” Microsoft ha aggiunto.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: