Известно, что ProxyNotShell использовался в реальных атаках, например, для установки China Chopper.
ProxyNotShell – эксплойт, использующий две опасные уязвимости, затрагивающие Microsoft Exchange Server 2013, 2016 и 2019:
-
CVE-2022-41040 (CVSS: 8,8) – уязвимость Microsoft Exchange Server, связанная с несанкционированным получением прав. Она позволяет удаленно эксплуатировать вторую уязвимость;
-
CVE-2022-41082 (CVSS: 8,8) – уязвимость Microsoft Exchange Server, которая позволяет авторизованному киберпреступнику скомпрометировать базовый сервер Exchange с помощью PowerShell, что может привести к полной компрометации.
CVE-2022-41040 (CVSS: 8,8) – уязвимость Microsoft Exchange Server, связанная с несанкционированным получением прав. Она позволяет удаленно эксплуатировать вторую уязвимость;
CVE-2022-41082 (CVSS: 8,8) – уязвимость Microsoft Exchange Server, которая позволяет авторизованному киберпреступнику скомпрометировать базовый сервер Exchange с помощью PowerShell, что может привести к полной компрометации.
Microsoft выпустила исправления для этих двух уязвимостей в рамках ноябрьского вторника исправлений 2022 года. А всего через неделю после релиза исправлений исследователь под ником Janggggg опубликовал код PoC-эксплойта, который злоумышленники использовали, чтобы бэкдорить серверы Exchange.
Уилл Дорманн, старший аналитик уязвимостей в ANALYGENCE, протестировал эксплойт и подтвердил, что он работает против систем под управлением Exchange Server 2016 и 2019, и добавил, что код нужно немного подправить, чтобы он работал против Exchange Server 2013.
Компания GreyNoise, занимающаяся анализом угроз, отслеживает эксплуатацию ProxyNotShell с конца сентября и предоставляет информацию об активности атак с использованием эксплойта и список IP-адресов, связанных с этими атаками.
По словам специалистов, злоумышленники использовали CVE-2022-41040 и CVE-2022-41082 с сентября 2022 года. Уязвимости были необходимы для установки веб-оболочек China Chopper на взломанных серверах, кражи данных и бокового перемещения в сетях жертв.
Команда Exchange Team подтвердила факт активного использования ProxyNotShell и порекомендовала пользователям как можно скорее установить последние обновления для Microsoft Exchange Server.
Источник: securitylab