E’ stato pubblicato l’exploit per sfruttare in attacchi reali Proxy Not Shell, il bug di Microsoft Server Exchange.

ProxyNotShell: breve sintesi

Anzitutto presentiamo in breve le vulnerabilità in questione. Le vulnerabilità alla base di ProxyNotShell sono:

  • CVE-2022-41040: vulnerabilità di falsificazione delle richieste lato server;
  • CVE-2022-41082: vulnerabilità di esecuzione codice da remoto quando PowerShell è accessibile all’attaccante. 

Per approfondire > Microsoft Exchange: due vulnerabilità 0-day usate in attacchi reali contro le aziende

La società ha aggiunto che la vulnerabilità CVE-2022-41040 può essere sfruttata solo da attaccanti autenticati: se però l’exploit di questa ha successo, l’attaccante può attivare la vulnerabilità CVE-2022-41082.  Sottolineiamo comunque che queste 0-day impattano solo sulle istanze Microsoft Exchange on-premise. 

Ulteriori informazioni tecniche, indicatori di compromissione e info sono disponibili nella “Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server” di Microsoft.

Microsoft ha patchato già queste vulnerabilità

Se in un primo momento Microsoft aveva dato solo consigli tecnici per minimizzare il rischio derivante da queste due 0-day, con il  November 2022 Patch Tuesday. Segnalate tramite il programma Zero Day Initiative Program di Microsoft, queste due vulnerabilità sono state risolte in Microsoft Exchange Server 2013, 2019 e 2019. Maggiori informazioni nell’aggiornamento di sicurezza KB5019758

Pubblicato il codice di Exploit: correre ai ripari e patchare subito Exchange

Poco dopo una settimana dal rilascio dei fix di ProxyNotShell un ricercatore di sicurezza anonimo, Janggggg, ha pubblicato il codice di explopit proof-of-concept per queste due vulnerabilità.

L’exploit è stato testato e può effettivamente funzionare sui sistemi che eseguono Microsoft Exchange Server 2016 e 2019. Il codice va invece lievemente modificato per colpire Exchange Server 2013. 

Ora, se il ricercatore ha pubblicato del codice a fini di ricerca – sicurezza, questo exploit è però già usato in attacchi reali per eseguire backdoor sui server bersaglio. La società di cyber sicurezza GreyNoise ha fornito ulteriori dettagli:
 

Il team di Microsoft ha dato la conferma definitiva del fatto che ProxyNotShell è sfruttato attivamente (almeno da Settembre 2022) e consiglia di installare gli ultimi aggiornamenti per Exchange Server il prima possibile.