В сети появился код PoC-эксплойта для двух опасных уязвимостей Microsoft Exchange Server

ProxyNotShell – эксплойт, использующий две опасные уязвимости, затрагивающие Microsoft Exchange Server 2013, 2016 и 2019:

  • CVE-2022-41040 (CVSS: 8,8) – уязвимость Microsoft Exchange Server, связанная с несанкционированным получением прав. Она позволяет удаленно эксплуатировать вторую уязвимость;

  • CVE-2022-41082 (CVSS: 8,8) – уязвимость Microsoft Exchange Server, которая позволяет авторизованному киберпреступнику скомпрометировать базовый сервер Exchange с помощью PowerShell, что может привести к полной компрометации.

Microsoft выпустила исправления для этих двух уязвимостей в рамках ноябрьского вторника исправлений 2022 года. А всего через неделю после релиза исправлений исследователь под ником Janggggg опубликовал код PoC-эксплойта, который злоумышленники использовали, чтобы бэкдорить серверы Exchange.

Уилл Дорманн, старший аналитик уязвимостей в ANALYGENCE, протестировал эксплойт и подтвердил, что он работает против систем под управлением Exchange Server 2016 и 2019, и добавил, что код нужно немного подправить, чтобы он работал против Exchange Server 2013.

Компания GreyNoise, занимающаяся анализом угроз, отслеживает эксплуатацию ProxyNotShell с конца сентября и предоставляет информацию об активности атак с использованием эксплойта и список IP-адресов, связанных с этими атаками.

По словам специалистов, злоумышленники использовали CVE-2022-41040 и CVE-2022-41082 с сентября 2022 года. Уязвимости были необходимы для установки веб-оболочек China Chopper на взломанных серверах, кражи данных и бокового перемещения в сетях жертв.

Команда Exchange Team подтвердила факт активного использования ProxyNotShell и порекомендовала пользователям как можно скорее установить последние обновления для Microsoft Exchange Server.

Public Release.