![ProxyNotShell Zero-Day-beperkingen kunnen worden omzeild [CVE-2022-41040]](https://cdn.sensorstechforum.com/wp-content/uploads/2022/06/software-vulnerability-alert-sensorstechforum-1024x585.jpg)
Twee nieuwe zero-day kwetsbaarheden in Microsoft Exchange zijn onlangs gemeld door Microsoft- en GTSC-onderzoekers. De twee kwetsbaarheden, geïdentificeerd als CVE-2022-41040 en CVE-2022-41082, staan gezamenlijk bekend als de ProxyNotShell-exploit.
CVE-2022-41040 is een probleem met vervalsing van verzoeken aan de serverzijde dat kan worden misbruikt door een geverifieerde aanvaller om samen te werken met CVE-2022-41082. De tweede kwetsbaarheid is een uitvoering van externe code probleem waardoor bedreigingsactoren op afstand Powershell-opdrachten kunnen uitvoeren op een kwetsbare Powershell-server. Aanvankelijk, Microsoft zei dat dreigingsactoren al moeten zijn geverifieerd op de doelserver om de aanval te laten slagen. Deze voorwaarde maakt een ProxyNotShell-aanval minder gevaarlijk dan de ProxyLogin-kwetsbaarheid, ontdekt in het voorjaar van 2021.
Hoe werden de ProxyNotShell-kwetsbaarheden ontdekt??
GTSC-onderzoekers zeggen dat ze in augustus voor het eerst ongewoon gedrag tegenkwamen 2022 die de twee kwetsbaarheden aan het licht bracht. Blijkbaar, ze werden in het wild gebruikt door een Chinese dreigingsactor. De dreigingsactor probeerde gebruik te maken van Microsoft's Internet Information Services (IIS). Opgemerkt moet worden dat IIS de front-end webcomponent van Outlook Web Access host (OWA) en gebruikt hetzelfde formaat als de ProxyShell-kwetsbaarheid. Zodra een server is gehackt, de aanvaller heeft Antsword ingezet, een Chinese open-source webbeheertool die ook als webshell kan worden gebruikt.
Kan CVE-2022-41040, CVE-2022-41082 Beperkt worden?
Aangezien Microsoft op de hoogte is van beperkte aanvallen en patches nog moeten worden vrijgegeven, verschillende oplossingen werden voorgesteld, inclusief een URL-herschrijfregel en blokkeringsbeperkingen. Echter, kort nadat de mitigaties werden vrijgegeven, het bleek dat ze konden worden omzeild.
Volgens beveiligingsonderzoeker bekend als Jang, het URL-patroon kan gemakkelijk worden omzeild. De blokbeperkingen zijn ook onvoldoende, volgens senior kwetsbaarheidsanalist Will Dormann.
Microsoft adviseert getroffen klanten om de sectie Beperkingen te lezen en een van de volgende bijgewerkte risicobeperkingsopties toe te passen::
- De EEMS-regel is bijgewerkt en wordt automatisch toegepast.
- Het eerder verstrekte EOMTv2-script is bijgewerkt met de verbetering van URL-herschrijving.
- De instructies voor het herschrijven van URL's zijn bijgewerkt. De string in stap 6 en stap 9 is herzien. Stappen 8, 9, en 10 heb bijgewerkte afbeeldingen.
“We raden Exchange Server-klanten ten zeerste aan om externe PowerShell-toegang uit te schakelen voor niet-beheerdersgebruikers in uw organisatie. Richtlijnen over hoe u dit voor één gebruiker of meerdere gebruikers kunt doen, vindt u hier,” Microsoft voegde.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: