ProxyNotShell: Detectando CVE-2022-41040 y CVE-2022-41082, Nuevas Vulnerabilidades Zero-Day en Microsoft Exchange Explotadas Activamente en la Naturaleza
Tabla de contenidos:
¡Mantente en alerta! Investigadores de ciberseguridad han revelado recientemente nuevas vulnerabilidades de día cero en Microsoft Exchange, también conocidas como ProxyNotShell rastreadas como CVE-2022-41040 y CVE-2022-41082 que actualmente se están explotando activamente en el entorno. Los errores recientemente descubiertos en Microsoft Exchange Server pueden combinarse en la cadena de explotación para propagar shells web de Chinese Chopper en los servidores objetivo. Según los investigadores, estos ataques de día cero pueden atribuirse a hackers chinos.
Detectar intentos de explotar vulnerabilidades ProxyNotShell: Días cero críticos en Microsoft Exchange Server
Las campañas de adversarios que explotan vulnerabilidades de día cero en ataques del mundo real requieren una respuesta ultrarrápida de los defensores cibernéticos. Para ayudar a las organizaciones a defenderse proactivamente contra ataques de tal magnitud, la plataforma Detection as Code de SOC Prime ha lanzado recientemente un conjunto de reglas Sigma seleccionadas para la detección de exploits de día cero de Microsoft Exchange conocidas como vulnerabilidades ProxyNotShell debido a su similitud. Todos los algoritmos de detección están disponibles para búsqueda optimizada a través de la etiqueta “ProxyNotShell” basada en el nombre de los días cero recibidos debido a sus similitudes con las famosas fallas ProxyShell.
Las reglas Sigma en el stack de detección proporcionado se pueden usar en soluciones SIEM, EDR y XDR líderes en la industria que coinciden con las necesidades específicas del entorno de la organización.
Haga clic en el botón Explorar Detecciones para acceder instantáneamente a la lista de reglas Sigma relevantes enriquecidas con referencias MITRE ATT&CK, enlaces CTI y otros contextos relevantes de amenazas cibernéticas.
Nuevos días cero de Microsoft Exchange también conocidos como ProxyNotShell: Análisis y Mitigación de Ataques
Las vulnerabilidades de día cero en Exchange Server tienden a causar revuelo en el ámbito de las amenazas cibernéticas al representar una grave amenaza para las organizaciones globales que utilizan esta popular aplicación de Microsoft. Investigadores de la empresa vietnamita de ciberseguridad GTSC han descubierto recientemente nuevas vulnerabilidades de día cero que afectan a Microsoft Exchange Server 2013, 2016 y 2019. Según informan los investigadores de GTSC, los días cero revelados pueden encadenarse para descargar shells web de Chinese Chopper permitiendo a los atacantes robar datos sensibles y realizar movimientos laterales a través del entorno comprometido. La actividad maliciosa está vinculada a un colectivo de hackers chinos basado en la página de código que contiene shells web y el uso de AntSword, una utilidad china de gestión de sitios web de código abierto. Investigadores de ciberseguridad en GTSC han observado que las solicitudes en la última cadena de explotación dirigida a la aplicación de Microsoft Exchange muestran similitudes con aquellas aprovechadas en ataques cibernéticos que utilizan vulnerabilidades ProxyShell.
Para tomar medidas inmediatas, GTSC ha emitido una advertencia informando de una campaña de ataque en curso que utiliza una de estas fallas de día cero por parte de los atacantes para realizar ejecución remota de código (RCE). Los investigadores de ciberseguridad han enviado esta información crítica sobre vulnerabilidades de seguridad descubiertas a Microsoft a través de Zero Day Initiative, que ha identificado estas fallas como ZDI-CAN-18333 y ZDI-CAN-18802.
El 29 de septiembre de 2022, el Centro de Respuesta de Seguridad de Microsoft emitió guías para clientes para las vulnerabilidades de día cero reportadas en Microsoft Exchange con una lista de mitigaciones para remediar la amenaza. La primera falla es una vulnerabilidad de Server-Side Request Forgery (SSRF) rastreada como CVE-2022-41040, mientras que la segunda, conocida como CVE-2022-41082, permite a los adversarios realizar RCE utilizando PowerShell. Después de obtener acceso autenticado a Microsoft Exchange Server y aprovechar el CVE-2022-41040, los actores de amenazas también pueden activar la segunda vulnerabilidad que conduce a una cadena de explotación.
Según la guía para clientes, los clientes en línea que utilizan Microsoft Exchange no están obligados a tomar medidas inmediatas ya que los errores de día cero divulgados solo afectan a las aplicaciones locales. Como medidas de mitigación, se recomienda a los usuarios de aplicaciones locales seguir un conjunto proporcionado de Instrucciones de Reescritura de URL y bloquear puertos de PowerShell remoto comprometidos, incluyendo HTTP: 5985 y HTTPS: 5986.
Contexto MITRE ATT&CK®
Para profundizar en el contexto de los días cero de Microsoft Exchange utilizados en los ataques en curso, las reglas Sigma mencionadas anteriormente están mapeadas al marco MITRE ATT&CK® abordando las tácticas y técnicas correspondientes:
