Updated October 3rd 2022
Inleiding
ProxyNotShell is een kwetsbaarheid na verificatie. Een aanvaller heeft “privileges that provide basic user capabilities”.
Microsoft heeft bevestigde de recente rapporten van twee zero-day-kwetsbaarheden in Microsoft Exchange Server (on-premises).
De eerste kwetsbaarheid in het rapport is CVE-2022-41040 en betreft een Server-Side Request Forgery (SSRF) kwetsbaarheid. De tweede is CVE-2022-41082 waarmee externe code kan worden uitgevoerd wanneer PowerShell Remoting wordt weergegeven.
Microsoft is op de hoogte van “beperkte gerichte aanvallen waarbij de twee kwetsbaarheden worden gebruikt om in de systemen van gebruikers te komen”.
Zoals gewoonlijk zit beveiligingsonderzoeker en voormalig Microsoft-medewerker Kevin Beaumont (@GossiTheDog) hier bovenop en heeft heeft zijn eigen onderzoek vrijgegeven. Kevin noemde de kwetsbaarheid ‘ProxyNotShell’.
Kevin gebruikte Shodan.io om kwetsbare versies van Exchange te identificeren die zijn blootgesteld aan internet:
https://twitter.com/GossiTheDog/status/1575774087963623426/
Beperkende maatregelen
Volgens Microsoft: “Microsoft Exchange Online heeft detecties en oplossingen om klanten te beschermen.”
De voorgestelde mitigaties voor installatie on-premises van Microsoft zijn omzeild omdat ze blijkbaar te specifiek waren. In plaats daarvan is het volgende URL-blok in IIS Manager ontworpen om een bredere reeks aanvallen te dekken:
.*autodiscover\.json.*Powershell.*
We wachten geduldig op patches van Microsoft om deze twee CVE’s te repareren.