Новости В сети появился код PoC-эксплойта для двух опасных уязвимостей Microsoft Exchange Server

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022

Известно, что ProxyNotShell использовался в реальных атаках, например, для установки China Chopper.​


j27z32j0oyofx8b4i51w3delgml1on9p.png


ProxyNotShell – эксплойт, который использует две опасные уязвимости, затрагивающие Microsoft Exchange Server 2013, 2016 и 2019:

  • Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 8,8) – уязвимость Microsoft Exchange Server, связанная с несанкционированным получением прав. Она позволяет удаленно эксплуатировать вторую уязвимость;
  • Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 8,8) – уязвимость Microsoft Exchange Server, которая позволяет авторизованному киберпреступнику скомпрометировать базовый сервер Exchange с помощью PowerShell, что может привести к полной компрометации.

Microsoft выпустила исправления для этих двух уязвимостей в рамках ноябрьского вторника исправлений 2022 года. А всего через неделю после релиза исправлений исследователь под ником Для просмотра ссылки Войди или Зарегистрируйся опубликовал код PoC-эксплойта, который злоумышленники использовали, чтобы бэкдорить серверы Exchange.

Уилл Дорманн, старший аналитик уязвимостей в ANALYGENCE, протестировал эксплойт и подтвердил, что он работает против систем под управлением Exchange Server 2016 и 2019, и добавил, что код нужно немного подправить, чтобы он работал против Exchange Server 2013.

Компания GreyNoise, занимающаяся анализом угроз, отслеживает эксплуатацию ProxyNotShell с конца сентября и предоставляет информацию об Для просмотра ссылки Войди или Зарегистрируйся атак с использованием эксплойта и Для просмотра ссылки Войди или Зарегистрируйся IP-адресов, связанных с этими атаками.

По словам специалистов, злоумышленники использовали CVE-2022-41040 и CVE-2022-41082 с сентября 2022 года. Уязвимости были необходимы для установки веб-оболочек China Chopper на взломанных серверах, кражи данных и бокового перемещения в сетях жертв.

Команда Exchange Team подтвердила факт активного использования ProxyNotShell и порекомендовала пользователям как можно скорее установить последние обновления для Microsoft Exchange Server.
 
Источник новости
https://www.securitylab.ru/news/534869.php

Похожие темы