ProxyNotShell: Rilevamento di CVE-2022-41040 e CVE-2022-41082, Nuove Vulnerabilità Zero-Day di Microsoft Exchange Attivamente Sfruttate
Indice:
Rimani in allerta! I ricercatori di cybersecurity hanno recentemente rivelato nuove vulnerabilità zero-day di Microsoft Exchange, note anche come ProxyNotShell tracciate come CVE-2022-41040 e CVE-2022-41082, che sono attualmente sfruttate attivamente. I nuovi bug scoperti in Microsoft Exchange Server possono essere combinati nella catena di exploit per diffondere web shell Chinese Chopper sui server mirati. Secondo i ricercatori, questi attacchi zero-day possono essere attribuiti a hacker cinesi.
Rileva tentativi di sfruttare le vulnerabilità ProxyNotShell: Zero-Day Critici in Microsoft Exchange Server
Le campagne avversarie che sfruttano vulnerabilità zero-day in attacchi reali richiedono un’ultrareattività da parte dei difensori informatici. Per aiutare le organizzazioni a difendersi proattivamente dagli attacchi di tale portata, la piattaforma Detection as Code di SOC Prime ha recentemente rilasciato un set di regole Sigma curate per il rilevamento degli exploit zero-day di Microsoft Exchange, note come vulnerabilità ProxyNotShell a causa della loro similarità. Tutti gli algoritmi di rilevamento sono disponibili per la ricerca semplificata tramite il tag “ProxyNotShell” basato sul nome che hanno ricevuto questi zero-day a causa delle loro somiglianze con le famose falle ProxyShell.
Le regole Sigma nello stack di rilevamento fornito possono essere utilizzate su soluzioni SIEM, EDR e XDR leader di settore adattandosi alle necessità specifiche dell’ambiente dell’organizzazione.
Fai clic sul pulsante Esplora Rilevamenti per raggiungere immediatamente l’elenco delle regole Sigma rilevanti arricchite con riferimenti MITRE ATT&CK, collegamenti CTI e altri contesti di minacce informatiche rilevanti.
Nuove zero-day di Microsoft Exchange note anche come ProxyNotShell: analisi e mitigazione degli attacchi
Le vulnerabilità zero-day in Exchange Server tendono a suscitare scalpore nell’arena delle minacce informatiche perché pongono una seria minaccia alle organizzazioni globali che utilizzano questa popolare applicazione Microsoft. I ricercatori dell’azienda di cybersecurity vietnamita GTSC hanno recentemente scoperto nuove vulnerabilità zero-day che interessano Microsoft Exchange Server 2013, 2016 e 2019. Come riportano i ricercatori di GTSC, gli zero-day rivelati possono essere concatenati per scaricare web shell Chinese Chopper consentendo agli attaccanti di rubare dati sensibili ed effettuare movimenti laterali nell’ambiente compromesso. L’attività dannosa è collegata a un collettivo di hacker cinesi in base alla pagina di codice contenente le web shell e all’uso di AntSword, un’utilità di gestione siti web open-source cinese. I ricercatori di cybersecurity di GTSC hanno notato che le richieste nell’ultima catena di exploit che prendono di mira l’applicazione Microsoft Exchange mostrano somiglianze con quelle sfruttate negli attacchi informatici che utilizzano le vulnerabilità ProxyShell.
Per agire immediatamente, GTSC ha rilasciato un avviso riportando di una campagna di attacco in corso che sfrutta una di queste falle zero-day da parte degli attaccanti per eseguire l’esecuzione di codice remoto (RCE). I ricercatori di cybersecurity hanno inviato privatamente queste informazioni critiche sulle vulnerabilità di sicurezza scoperte a Microsoft attraverso Zero Day Initiative, che ha identificato queste falle come ZDI-CAN-18333 e ZDI-CAN-18802.
Il 29 settembre 2022, il Microsoft Security Response Center ha emesso linee guida per i clienti per le vulnerabilità zero-day di Microsoft Exchange segnalate con un elenco di mitigazioni per risolvere la minaccia. La prima falla è una vulnerabilità Server-Side Request Forgery (SSRF) tracciata come CVE-2022-41040, mentre la seconda, conosciuta come CVE-2022-41082, consente agli avversari di eseguire RCE utilizzando PowerShell. Dopo aver ottenuto accesso autenticato a Microsoft Exchange Server e aver sfruttato il CVE-2022-41040, gli attori delle minacce possono anche attivare la seconda vulnerabilità che porta a una catena di exploit.
Secondo le linee guida per i clienti, i clienti online che utilizzano Microsoft Exchange non sono tenuti a prendere immediatamente misure dal momento che gli zero-day divulgati interessano solo le applicazioni on-premises. Come misure di mitigazione, agli utenti delle applicazioni on-premises è raccomandato di seguire un insieme di Istruzioni di riscrittura URL fornite e bloccare le porte Remote PowerShell compromesse, inclusi HTTP: 5985 e HTTPS: 5986.
Contesto MITRE ATT&CK®
Per approfondire il contesto degli zero-day di Microsoft Exchange utilizzati negli attacchi in corso, le regole Sigma sopra menzionate sono mappate al framework MITRE ATT&CK® rivolgendo le corrispondenti tattiche e tecniche:
