È stato scoperto un nuovo exploit utilizzato in natura che sfrutta la vulnerabilità Microsoft Server-Side Request Forgery (SSRF) recentemente pubblicata CVE-2022-41040 e una seconda vulnerabilità, CVE-2022-41082, che consente l’esecuzione di codice in remoto (RCE) quando PowerShell è disponibile per gli aggressori non identificati.
Soprannominato ProxyNotShell, questo nuovo rischio sfrutta un attacco concatenato simile a quello utilizzato nell’attacco ProxyShell del 2021 che ha sfruttato la combinazione di più vulnerabilità (CVE-2021-34523, CVE-2021-34473 e CVE-2021- 31207) per consentire a un attaccante remoto di eseguire codice arbitrario.
Registrato il 19 settembre 2022, CVE-2022-41082 è un vettore di attacco mirato ai server Exchange di Microsoft, che permette attacchi di bassa complessità con bassi privilegi richiesti. I servizi interessati, se vulnerabili, consentono a un utente malintenzionato autenticato di compromettere il server di scambio sottostante sfruttando PowerShell di scambio esistente, che potrebbe comportare una compromissione completa. Con il supporto di CVE-2022-41040, un’altra vulnerabilità Microsoft registrata anche il 19 settembre 2022, un utente malintenzionato può attivare in remoto CVE-2022-41082 per eseguire comandi in remoto.
Sebbene un utente debba disporre del privilegio per accedere a CVE-2022-41040, il livello di privilegio richiesto è basso.
Entrambe le vulnerabilità sono state scoperte durante un attacco attivo contro GTSC, un’organizzazione vietnamita, in cui gli aggressori hanno ottenuto l’accesso ad alcuni dei loro client. Sebbene nessuna delle due vulnerabilità sia di per sé particolarmente pericolosa, gli exploit che le uniscono insieme potrebbero potenzialmente portare a violazioni disastrose.
Le vulnerabilità concatenate potrebbero garantire a un utente malintenzionato esterno la possibilità di leggere i messaggi di posta elettronica direttamente dal server di un’organizzazione, la possibilità di violare l’organizzazione con CVE-2022-41040, di eseguire codice in modalità remota e impiantare malware nell’Exchange Server dell’organizzazione con CVE-2022-41082.
Nonostante sembri che gli attaccanti necessitino di un certo livello di autenticazione per attivare l’exploit delle vulnerabilità concatenate, l’esatto livello di autenticazione richiesto, valutato “Basso” da Microsoft, non è ancora chiarito. Tuttavia, questo basso livello di autenticazione richiesto dovrebbe prevenire efficacemente un massiccio attacco automatizzato che prende di mira tutti i server Exchange nel mondo.
Gli esperti spiegano anche che tuttavia, trovare una singola combinazione di indirizzo e-mail/password valida su un determinato server Exchange non dovrebbe essere eccessivamente difficile e, poiché questo attacco ignora la convalida del token MFA o FIDO per accedere a Outlook Web Access, un’unica combinazione di indirizzo e-mail/password compromessa è tutto quello è necessario.
Al momento Microsoft non ha ancora rilasciato una patch, ma consiglia agli utenti di aggiungere una regola di blocco come misura di mitigazione. Anche il blocco del traffico in entrata verso i server Exchange che contengono asserzioni critiche è un’opzione, sebbene praticabile solo se tale misura non ha un impatto sulle operazioni vitali e dovrebbe idealmente essere percepita come una misura temporanea in attesa dell’emissione di una patch verificata da parte di Microsoft.
https://thehackernews.com/2022/10/proxynotshell-new-proxy-hell.html
