E’ stato pubblicato l’exploit per sfruttare in attacchi reali Proxy Not Shell, il bug di Microsoft Server Exchange.
ProxyNotShell: breve sintesi
Anzitutto presentiamo in breve le vulnerabilità in questione. Le vulnerabilità alla base di ProxyNotShell sono:
- CVE-2022-41040: vulnerabilità di falsificazione delle richieste lato server;
- CVE-2022-41082: vulnerabilità di esecuzione codice da remoto quando PowerShell è accessibile all’attaccante.
Per approfondire > Microsoft Exchange: due vulnerabilità 0-day usate in attacchi reali contro le aziende
La società ha aggiunto che la vulnerabilità CVE-2022-41040 può essere sfruttata solo da attaccanti autenticati: se però l’exploit di questa ha successo, l’attaccante può attivare la vulnerabilità CVE-2022-41082. Sottolineiamo comunque che queste 0-day impattano solo sulle istanze Microsoft Exchange on-premise.
Ulteriori informazioni tecniche, indicatori di compromissione e info sono disponibili nella “Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server” di Microsoft.
Se in un primo momento Microsoft aveva dato solo consigli tecnici per minimizzare il rischio derivante da queste due 0-day, con il November 2022 Patch Tuesday. Segnalate tramite il programma Zero Day Initiative Program di Microsoft, queste due vulnerabilità sono state risolte in Microsoft Exchange Server 2013, 2019 e 2019. Maggiori informazioni nell’aggiornamento di sicurezza KB5019758.
Poco dopo una settimana dal rilascio dei fix di ProxyNotShell un ricercatore di sicurezza anonimo, Janggggg, ha pubblicato il codice di explopit proof-of-concept per queste due vulnerabilità.
You guys must be waiting for this,
— Janggggg (@testanull) November 17, 2022
So this is the working PoC script of the Exchange 0day exploited ITWhttps://t.co/XGx0fYJygm
L’exploit è stato testato e può effettivamente funzionare sui sistemi che eseguono Microsoft Exchange Server 2016 e 2019. Il codice va invece lievemente modificato per colpire Exchange Server 2013.
Ora, se il ricercatore ha pubblicato del codice a fini di ricerca – sicurezza, questo exploit è però già usato in attacchi reali per eseguire backdoor sui server bersaglio. La società di cyber sicurezza GreyNoise ha fornito ulteriori dettagli:
- l’elenco degli indirizzi IP per la scansione dei server vulnerabili associati a questo exploit;
- dati telemetrici sull’attività di exploit.
Il team di Microsoft ha dato la conferma definitiva del fatto che ProxyNotShell è sfruttato attivamente (almeno da Settembre 2022) e consiglia di installare gli ultimi aggiornamenti per Exchange Server il prima possibile.
