Разработчики Microsoft подтвердили, что сразу две недавно обнаруженные уязвимости нулевого дня в Microsoft Exchange Server 2013, 2016 и 2019 активно используются хакерами.

Первыми о свежих проблемах и хакерских атаках сообщили специалисты из вьетнамской компании GTSC. По их словам, злоумышленники используют 0-day для развертывания веб-шеллов China Chopper на скомпрометированных серверах, чтобы закрепиться в системе, похитить данные, а также организовать боковое перемещение в сетях жертв.

По мнению GTSC, за этими атаками могут стоять китайские хакеры, так как в коде встречаются символы на упрощенном китайском, и злоумышленники используют китайский опенсорсный инструмент Antsword для управления веб-шеллами.

Исследователи сообщили об уязвимостях еще три недели назад, через программу Zero Day Initiative, где проблемам были присвоены идентификаторы ZDI-CAN-18333 и ZDI-CAN-18802.

Хотя в GTSC опубликовали мало подробностей о новых уязвимостях, исследователи сообщили, что запросы, используемые в этой цепочке эксплоитов, аналогичны тем, которые используются в атаках, нацеленных на проблему ProxyShell. По их словам, эксплоит работает в два этапа:

  • запросы, похожие на эксплуатацию ProxyShell, в формате: autodiscover/autodiscover.json?@evil.com/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json%3f@evil.com.
  • использование этой ссылки для доступа к компоненту в бэкэнде, где может быть реализована RCE.

Вскоре после предупреждения от GTSC, представители Microsoft подтвердили наличие двух 0-day в Exchange.

«Первая уязвимость с идентификатором CVE-2022-41040, представляет собой проблему SSRF, а вторая, с идентификатором CVE-2022-41082, допускает удаленное выполнение кода (RCE), если PowerShell доступен для злоумышленника, — пишут в компании. — В настоящее время Microsoft известно об ограниченных целевых атаках с использованием этих уязвимостей для проникновения в системы пользователей».

В Microsoft подчеркнули, что уязвимость CVE-2022-41040 может быть использована только авторизованными злоумышленниками, после чего они могут переходить к проблеме CVE-2022-41082 и выполнению произвольного кода.

Вместо патчей в Microsoft пока предлагают заблокировать открытые порты Remote PowerShell и применить определенные инструкции для URL Rewrite. Подробные инструкции по защите уже доступны в блоге компании.

Известный ИБ-эксперт Кевин Бомонт, назвал эти уязвимости ProxyNotShell (из-за сходства со старой уязвимостью ProxyShell). До официального сообщения Microsoft специалист предполагал, что злоумышленники попросту могли найти новый и более эффективный вариант эксплоита для ProxyShell, и речь идет не о полноценной новой проблеме.

Даже теперь, когда стало ясно, что уязвимости «настоящие», другие исследователи все еще полагают, что баги могут быть связаны с тем фактом, что Microsoft не полностью избавилась от проблемы ProxyShell.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии