Microsoft Exchange: tre bug consentono un attacco via ProxyShell

Il principale ricercatore di sicurezza di Devcore Orange Tsai ha scoperto queste vulnerabilità durante il concorso Pwn20wn. Grazie al programma di bug-bounty di Microsoft, questa scoperta ha fruttato al ricercatore 200mila dollari di premio ad aprile 2021. Durante la recente conferenza Black Hat, Tsai Orange ha condiviso i dettagli su queste vulnerabilità spiegando come vengono sfruttate in remoto tramite il Client Access System (Cas) di Microsoft Exchange in esecuzione sulla porta 443 in IIS.

Seguendo i calcoli twittati dal ricercatore di sicurezza Kevin Beaumont, sembra che, tra ProxyLogon e ProxyShell, “poco meno del 50% dei server Exchange con connessione a Internet” sono attualmente vulnerabili allo sfruttamento, secondo una ricerca di Shodan.

Le vulnerabilità interessano Exchange Server 2013, 2016 e 2019.

Durante la sua presentazione alla conferenza sulla sicurezza informatica Black Hat, Tsai ha spiegato che la nuova superficie di attacco scoperta dal suo team si basa su “un cambiamento significativo in Exchange Server 2013, in cui il gestore di protocollo fondamentale, Client Access Service (CAS), si divide in frontend e backend” – un cambiamento che ha sostenuto “una certa quantità di progettazione” e ha prodotto otto vulnerabilità, costituite da bug lato server, bug lato client e bug crittografici.

Microsoft ha già rilasciato patch per tutte le vulnerabilità in questione ed “è probabile che la maggior parte delle organizzazioni che prendono la sicurezza almeno un po’ sul serio abbiano già applicato le patch”, ha scritto Kopriva.

Le tre vulnerabilità di Exchange, tutte patchate tra aprile e maggio 2021, che Tsai ha concatenato per l’attacco ProxyShell:

• CVE-2021-34473 – La confusione del percorso di pre-autenticazione porta al bypass ACL
• CVE-2021-34523 – Elevazione dei privilegi sul backend di Exchange PowerShell
• CVE-2021-31207 – La scrittura di file arbitraria post-autenticazione porta a RCE