Pubblicato l’exploit per sfruttare ProxyNotShell di Microsoft Server Exchange
da Ilaria Mugnai | Nov 21, 2022 | Sicurezza Informatica
E' stato pubblicato l'exploit per sfruttare in attacchi reali Proxy Not Shell, il bug di Microsoft Server Exchange.
E’ stato pubblicato l’exploit per sfruttare in attacchi reali Proxy Not Shell, il bug di Microsoft Server Exchange.
ProxyNotShell: breve sintesi
Anzitutto presentiamo in breve le vulnerabilità in questione. Le vulnerabilità alla base di ProxyNotShell sono:
CVE-2022-41040: vulnerabilità di falsificazione delle richieste lato server;
CVE-2022-41082: vulnerabilità di esecuzione codice da remoto quando PowerShell è accessibile all’attaccante.
Per approfondire > Microsoft Exchange: due vulnerabilità 0-day usate in attacchi reali contro le aziende
La società ha aggiunto che la vulnerabilità CVE-2022-41040 può essere sfruttata solo da attaccanti autenticati: se però l’exploit di questa ha successo, l’attaccante può attivare la vulnerabilità CVE-2022-41082. Sottolineiamo comunque che queste 0-day impattano solo sulle istanze Microsoft Exchange on-premise.
Ulteriori informazioni tecniche, indicatori di compromissione e info sono disponibili nella “Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server” di Microsoft.
Microsoft ha patchato già queste vulnerabilità
Se in un primo momento Microsoft aveva dato solo consigli tecnici per minimizzare il rischio derivante da queste due 0-day, con il November 2022 Patch Tuesday. Segnalate tramite il programma Zero Day Initiative Program di Microsoft, queste due vulnerabilità sono state risolte in Microsoft Exchange Server 2013, 2019 e 2019. Maggiori informazioni nell’aggiornamento di sicurezza KB5019758.
Pubblicato il codice di Exploit: correre ai ripari e patchare subito Exchange
Poco dopo una settimana dal rilascio dei fix di ProxyNotShell un ricercatore di sicurezza anonimo, Janggggg, ha pubblicato il codice di explopit proof-of-concept per queste due vulnerabilità.
You guys must be waiting for this,
So this is the working PoC script of the Exchange 0day exploited ITWhttps://t.co/XGx0fYJygm
— Janggggg (@testanull) November 17, 2022
L’exploit è stato testato e può effettivamente funzionare sui sistemi che eseguono Microsoft Exchange Server 2016 e 2019. Il codice va invece lievemente modificato per colpire Exchange Server 2013.
Ora, se il ricercatore ha pubblicato del codice a fini di ricerca – sicurezza, questo exploit è però già usato in attacchi reali per eseguire backdoor sui server bersaglio. La società di cyber sicurezza GreyNoise ha fornito ulteriori dettagli:
l’elenco degli indirizzi IP per la scansione dei server vulnerabili associati a questo exploit;
dati telemetrici sull’attività di exploit.
Il team di Microsoft ha dato la conferma definitiva del fatto che ProxyNotShell è sfruttato attivamente (almeno da Settembre 2022) e consiglia di installare gli ultimi aggiornamenti per Exchange Server il prima possibile.