ProxyNotShell Microsoft Microsoft Exchange Server PowerShell GTSC Cymulate
Исследователи раскрыли подробности эксплуатации эксплойта и его влияние на сервер.
Стало известно, что новый эксплойт ProxyNotShell использует недавно обнаруженные уязвимости Microsoft Exchange Server.
ProxyNotShell
использует 2 уязвимости:
CVE-2022-41040
(CVSS: 8,8) — уязвимость Microsoft Exchange Server, связанная с несанкционированным получением прав. Она позволяет удаленно эксплуатировать вторую ошибку;
CVE-2022-41082
(CVSS: 8,8) – ошибка в Microsoft Exchange Server, которая позволяет авторизованному киберпреступнику скомпрометировать базовый сервер Exchange с помощью
Windows PowerShell — оболочка командной строки на основе задач и языков сценариев. Она специально разработана для администрирования систем. Встроенная в .NET Framework, оболочка Windows PowerShell помогает ИТ-специалистам и опытным пользователям контролировать и автоматизировать процесс администрирования операционной системы Windows и приложений, работающих в системе Windows.
"
data-html="true" data-original-title="PowerShell"
>PowerShell, что может привести к полной компрометации.
Microsoft еще не выпустила исправление, но порекомендовало пользователям добавить
правило блокировки
в качестве меры по смягчению последствий. Также для защиты можно заблокировать входящий трафик к серверам Exchange, содержащим критически важные утверждения, но только если такая мера не влияет на жизненно важные операции.
Обе уязвимости были обнаружены во время атаки
на вьетнамскую компанию GTSC
в конце сентября. По отдельности уязвимости не представляет особой опасности, но эксплойты, объединяющие их вместе, потенциально могут привести к катастрофическим последствиям.
При этом для использования уязвимостей требуется низкий уровень привилегий, что облегчает работу хакеру. Эксплоит предоставляет злоумышленнику возможность:
удаленно читать электронные письма непосредственно с сервера организации;
взломать компанию с помощью удаленного выполнения кода, используя CVE-2022-41040;
внедрить вредоносное ПО на сервер Exchange с помощью CVE-2022-41082.
Более того, хакеру достаточно найти одну действительную комбинацию адреса электронной почты и пароля на данном сервере Exchange, что является простой задачей, поскольку эта атака обходит проверку МФА или FIDO для входа в Outlook Web Access.
Оценка воздействия ProxyNotShellИсследовательская лаборатория Cymulate разработала
специальную оценку для ProxyNotShell , которая позволяет организациям точно оценить степень воздействия ProxyNotShell. Вектор атаки ProxyNotShell был добавлен в шаблоны расширенных сценариев, и его запуск в вашей среде дает необходимую информацию для проверки воздействия уязвимостей, а также определяет, какие серверы являются потенциальными целями. Кроме того, проверка поможет разработать надежные меры защиты, пока Microsoft не выпустит исправления.
SECURITYLAB.RU
.png)
