Бесплатно Экспресс-аудит сайта:

06.10.2022

На что способен новый эксплойт ProxyNotShell?

Стало известно, что новый эксплойт ProxyNotShell использует недавно обнаруженные уязвимости Microsoft Exchange Server.

ProxyNotShell использует 2 уязвимости:

  • CVE-2022-41040 (CVSS: 8,8) — уязвимость Microsoft Exchange Server, связанная с несанкционированным получением прав. Она позволяет удаленно эксплуатировать вторую ошибку;
  • CVE-2022-41082 (CVSS: 8,8) – ошибка в Microsoft Exchange Server, которая позволяет авторизованному киберпреступнику скомпрометировать базовый сервер Exchange с помощью PowerShell , что может привести к полной компрометации.

Microsoft еще не выпустила исправление, но порекомендовало пользователям добавить правило блокировки в качестве меры по смягчению последствий. Также для защиты можно заблокировать входящий трафик к серверам Exchange, содержащим критически важные утверждения, но только если такая мера не влияет на жизненно важные операции.

Обе уязвимости были обнаружены во время атаки на вьетнамскую компанию GTSC в конце сентября. По отдельности уязвимости не представляет особой опасности, но эксплойты, объединяющие их вместе, потенциально могут привести к катастрофическим последствиям.

При этом для использования уязвимостей требуется низкий уровень привилегий, что облегчает работу хакеру. Эксплоит предоставляет злоумышленнику возможность:

  • удаленно читать электронные письма непосредственно с сервера организации;
  • взломать компанию с помощью удаленного выполнения кода, используя CVE-2022-41040;
  • внедрить вредоносное ПО на сервер Exchange с помощью CVE-2022-41082.

Более того, хакеру достаточно найти одну действительную комбинацию адреса электронной почты и пароля на данном сервере Exchange, что является простой задачей, поскольку эта атака обходит проверку МФА или FIDO для входа в Outlook Web Access.

Оценка воздействия ProxyNotShell

Исследовательская лаборатория Cymulate разработала специальную оценку для ProxyNotShell , которая позволяет организациям точно оценить степень воздействия ProxyNotShell. Вектор атаки ProxyNotShell был добавлен в шаблоны расширенных сценариев, и его запуск в вашей среде дает необходимую информацию для проверки воздействия уязвимостей, а также определяет, какие серверы являются потенциальными целями. Кроме того, проверка поможет разработать надежные меры защиты, пока Microsoft не выпустит исправления.