![ProxyNotShell のゼロデイ緩和策はバイパス可能 [CVE-2022-41040]](https://cdn.sensorstechforum.com/wp-content/uploads/2022/06/software-vulnerability-alert-sensorstechforum-1024x585.jpg)
2 つの新しい ゼロデイ Microsoft Exchange の脆弱性は、Microsoft と GTSC の研究者によって最近報告されました。. 2つの脆弱性, CVE-2022-41040 および CVE-2022-41082 として特定, ProxyNotShellエクスプロイトとして総称されています.
CVE-2022-41040 はサーバー側のリクエスト フォージェリの問題であり、認証された攻撃者が CVE-2022-41082 と連鎖するために悪用する可能性があります。. 2 つ目の脆弱性は、 リモートコード実行 攻撃者が脆弱な Powershell サーバーで Powershell コマンドをリモートで実行できる問題. 最初は, Microsoft は、攻撃が成功するためには、攻撃者が標的のサーバーに対して認証済みである必要があると述べています。. この条件により、ProxyNotShell 攻撃は ProxyLogin の脆弱性よりも危険性が低くなります。, 春に発見された 2021.
ProxyNotShell 脆弱性はどのようにして発見されたのか?
GTSC の研究者によると、最初に異常な行動に遭遇したのは 8 月だった 2022 これにより、2 つの脆弱性が明らかになりました. どうやら, それらは、中国の脅威アクターによって実際に使用されました. 攻撃者は、Microsoft のインターネット インフォメーション サービスを利用しようとしていました。 (IIS). IIS は Outlook Web Access のフロントエンド Web コンポーネントをホストすることに注意してください。 (OWA) ProxyShell の脆弱性と同じ形式を使用します。. サーバーが侵害された場合, 攻撃者は Antsword を展開しました, Web シェルとしても使用できる中国語のオープンソース Web 管理ツール.
CVE-2022-41040 が可能, CVE-2022-41082 軽減する?
Microsoft は限定的な攻撃を認識しており、パッチはまだリリースされていないため, いくつかの回避策が提案されました, URL 書き換えルールとブロック緩和を含む. でも, 緩和策がリリースされた直後, それらはバイパスできることが判明しました.
Jangとして知られるセキュリティ研究者によると, URL パターンは簡単にバイパスできます. ブロック緩和も不十分, 上級脆弱性アナリストのウィル・ドーマンによると.
Microsoft は、影響を受けるお客様に、緩和策セクションを確認し、次の更新された緩和オプションのいずれかを適用することをお勧めします:
- EEMS ルールが更新され、自動的に適用されます.
- 以前に提供された EOMTv2 スクリプトが更新され、URL 書き換えの改善が含まれるようになりました.
- URL 書き換えルールの説明が更新されました. ステップの文字列 6 とステップ 9 改訂されました. 手順 8, 9, と 10 画像を更新しました.
“Exchange Server のお客様は、組織内の非管理者ユーザーのリモート PowerShell アクセスを無効にすることを強くお勧めします. 単一ユーザーまたは複数ユーザーでこれを行う方法に関するガイダンスは、こちらから入手できます,” マイクロソフトは追加しました.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: