Dois novos zero-day vulnerabilidades no Microsoft Exchange foram relatadas recentemente por pesquisadores da Microsoft e GTSC. As duas vulnerabilidades, identificado como CVE-2022-41040 e CVE-2022-41082, são conhecidos coletivamente como a exploração ProxyNotShell.
CVE-2022-41040 é um problema de falsificação de solicitação do lado do servidor que pode ser explorado por um invasor autenticado para encadear com CVE-2022-41082. A segunda vulnerabilidade é uma execução remota de código problema que permite que os agentes de ameaças executem remotamente comandos do Powershell em um servidor Powershell vulnerável. Inicialmente, A Microsoft disse que os agentes de ameaças precisam estar autenticados no servidor de destino para que o ataque seja bem-sucedido. Essa condição torna um ataque ProxyNotShell menos perigoso do que a vulnerabilidade ProxyLogin, descoberto na primavera de 2021.
Como as vulnerabilidades do ProxyNotShell foram descobertas?
Pesquisadores do GTSC dizem que encontraram um comportamento incomum pela primeira vez em agosto 2022 que revelou as duas vulnerabilidades. Pelo visto, eles foram usados em estado selvagem por um ator de ameaça chinês. O agente da ameaça estava tentando aproveitar os Serviços de Informações da Internet da Microsoft (IIS). Deve-se notar que o IIS hospeda o componente web front-end do Outlook Web Access (OWA) e usa o mesmo formato que a vulnerabilidade do ProxyShell. Uma vez que um servidor foi violado, o invasor implantou Antsword, uma ferramenta de administração da web de código aberto chinesa que também pode ser usada como um shell da web.
Pode CVE-2022-41040, CVE-2022-41082 Ser Mitigado?
Como a Microsoft está ciente dos ataques limitados e os patches ainda não foram lançados, várias soluções alternativas foram propostas, incluindo uma regra de reescrita de URL e mitigações de bloqueio. Contudo, logo após as mitigações serem liberadas, descobriu-se que eles poderiam ser ignorados.
De acordo com o pesquisador de segurança conhecido como Jang, o padrão de URL pode ser ignorado facilmente. As mitigações de bloqueio também são insuficientes, de acordo com o analista sênior de vulnerabilidades Will Dormann.
A Microsoft aconselha os clientes afetados a revisar a seção Mitigações e aplicar uma das seguintes opções de mitigação atualizadas:
- A regra EEMS é atualizada e aplicada automaticamente.
- O script EOMTv2 fornecido anteriormente foi atualizado para incluir a melhoria de reescrita de URL.
- As instruções da regra de reescrita de URL foram atualizadas. A corda no passo 6 e passo 9 foi revisto. Passos 8, 9, e 10 atualizou as imagens.
“É altamente recomendável que os clientes do Exchange Server desativem o acesso remoto ao PowerShell para usuários não administradores em sua organização. Orientações sobre como fazer isso para um único usuário ou vários usuários estão disponíveis aqui,” A Microsoft adicionou.