Разработчики Microsoft подтвердили, что сразу две недавно обнаруженные уязвимости нулевого дня в Microsoft Exchange Server 2013, 2016 и 2019 активно используются хакерами.
Первыми о свежих проблемах и хакерских атаках сообщили специалисты из вьетнамской компании GTSC. По их словам, злоумышленники используют 0-day для развертывания веб-шеллов China Chopper на скомпрометированных серверах, чтобы закрепиться в системе, похитить данные, а также организовать боковое перемещение в сетях жертв.
По мнению GTSC, за этими атаками могут стоять китайские хакеры, так как в коде встречаются символы на упрощенном китайском, и злоумышленники используют китайский опенсорсный инструмент Antsword для управления веб-шеллами.
Исследователи сообщили об уязвимостях еще три недели назад, через программу Zero Day Initiative, где проблемам были присвоены идентификаторы ZDI-CAN-18333 и ZDI-CAN-18802.
Хотя в GTSC опубликовали мало подробностей о новых уязвимостях, исследователи сообщили, что запросы, используемые в этой цепочке эксплоитов, аналогичны тем, которые используются в атаках, нацеленных на проблему ProxyShell. По их словам, эксплоит работает в два этапа:
- запросы, похожие на эксплуатацию ProxyShell, в формате: autodiscover/autodiscover.json?@evil.com/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json%3f@evil.com.
- использование этой ссылки для доступа к компоненту в бэкэнде, где может быть реализована RCE.
Вскоре после предупреждения от GTSC, представители Microsoft подтвердили наличие двух 0-day в Exchange.
«Первая уязвимость с идентификатором CVE-2022-41040, представляет собой проблему SSRF, а вторая, с идентификатором CVE-2022-41082, допускает удаленное выполнение кода (RCE), если PowerShell доступен для злоумышленника, — пишут в компании. — В настоящее время Microsoft известно об ограниченных целевых атаках с использованием этих уязвимостей для проникновения в системы пользователей».
В Microsoft подчеркнули, что уязвимость CVE-2022-41040 может быть использована только авторизованными злоумышленниками, после чего они могут переходить к проблеме CVE-2022-41082 и выполнению произвольного кода.
Вместо патчей в Microsoft пока предлагают заблокировать открытые порты Remote PowerShell и применить определенные инструкции для URL Rewrite. Подробные инструкции по защите уже доступны в блоге компании.
Известный ИБ-эксперт Кевин Бомонт, назвал эти уязвимости ProxyNotShell (из-за сходства со старой уязвимостью ProxyShell). До официального сообщения Microsoft специалист предполагал, что злоумышленники попросту могли найти новый и более эффективный вариант эксплоита для ProxyShell, и речь идет не о полноценной новой проблеме.
Даже теперь, когда стало ясно, что уязвимости «настоящие», другие исследователи все еще полагают, что баги могут быть связаны с тем фактом, что Microsoft не полностью избавилась от проблемы ProxyShell.
