На что способен новый эксплойт ProxyNotShell?

[Artifact]

Исследователи раскрыли подробности эксплуатации эксплойта и его влияние на сервер.

Стало известно, что новый эксплойт ProxyNotShell использует недавно обнаруженные уязвимости Microsoft Exchange Server.
ProxyNotShell использует 2 уязвимости:

• CVE-2022-41040 (CVSS: 8,8) — уязвимость Microsoft Exchange Server, связанная с несанкционированным получением прав. Она позволяет удаленно эксплуатировать вторую ошибку;

• CVE-2022-41082 (CVSS: 8,8) – ошибка в Microsoft Exchange Server, которая позволяет авторизованному киберпреступнику скомпрометировать базовый сервер Exchange с помощью PowerShell, что может привести к полной компрометации.

Microsoft еще не выпустила исправление, но порекомендовало пользователям добавить правило блокировки в качестве меры по смягчению последствий. Также для защиты можно заблокировать входящий трафик к серверам Exchange, содержащим критически важные утверждения, но только если такая мера не влияет на жизненно важные операции.
Обе уязвимости были обнаружены во время атаки на вьетнамскую компанию GTSC в конце сентября. По отдельности уязвимости не представляет особой опасности, но эксплойты, объединяющие их вместе, потенциально могут привести к катастрофическим последствиям.
При этом для использования уязвимостей требуется низкий уровень привилегий, что облегчает работу хакеру. Эксплоит предоставляет злоумышленнику возможность:

• удаленно читать электронные письма непосредственно с сервера организации;

• взломать компанию с помощью удаленного выполнения кода, используя CVE-2022-41040;

• внедрить вредоносное ПО на сервер Exchange с помощью CVE-2022-41082.

Более того, хакеру достаточно найти одну действительную комбинацию адреса электронной почты и пароля на данном сервере Exchange, что является простой задачей, поскольку эта атака обходит проверку МФА или FIDO для входа в Outlook Web Access.
Оценка воздействия ProxyNotShell
Исследовательская лаборатория Cymulate разработала специальную оценку для ProxyNotShell , которая позволяет организациям точно оценить степень воздействия ProxyNotShell. Вектор атаки ProxyNotShell был добавлен в шаблоны расширенных сценариев, и его запуск в вашей среде дает необходимую информацию для проверки воздействия уязвимостей, а также определяет, какие серверы являются потенциальными целями. Кроме того, проверка поможет разработать надежные меры защиты, пока Microsoft не выпустит исправления.