ProxyNotShell: Detectando CVE-2022-41040 e CVE-2022-41082, Novas Vulnerabilidades Zero-Day do Microsoft Exchange Ativamente Exploradas em Campo
Índice:
Mantenha-se alerta! Pesquisadores de cibersegurança revelaram recentemente novas vulnerabilidades de dia zero no Microsoft Exchange, também conhecidas como ProxyNotShell rastreadas como CVE-2022-41040 e CVE-2022-41082, que estão atualmente sendo exploradas ativamente. Os novos bugs descobertos no Microsoft Exchange Server podem ser combinados na cadeia de exploração para espalhar shells web Chinese Chopper nos servidores alvo. Segundo os pesquisadores, esses ataques de dia zero podem ser atribuídos a hackers chineses.
Detectar Tentativas de Explorar Vulnerabilidades ProxyNotShell: Dias Críticos no Microsoft Exchange Server
Campanhas de adversários explorando vulnerabilidades de dia zero em ataques reais exigem ultra-responsividade dos defensores cibernéticos. Para ajudar as organizações a se defenderem proativamente contra ataques dessa escala, a plataforma Detection as Code da SOC Prime lançou recentemente um conjunto de regras Sigma selecionadas para detecção de exploração de dia zero no Microsoft Exchange, conhecidas como vulnerabilidades ProxyNotShell devido às suas similaridades. Todos os algoritmos de detecção estão disponíveis para busca simplificada através da tag “ProxyNotShell” com base no nome que os dias zero receberam devido às suas similaridades com as falhas ProxyShell.
As regras Sigma no conjunto de detecção fornecido podem ser usadas em soluções SIEM, EDR e XDR líderes da indústria, combinando com as necessidades específicas do ambiente da organização.
Clique no Explorar Detecções para acessar instantaneamente a lista de regras Sigma relevantes enriquecidas com referências MITRE ATT&CK, links CTI e outros contextos de ameaças cibernéticas relevantes.
Novos Dias-Zero do Microsoft Exchange aka ProxyNotShell: Análise e Mitigação do Ataque
Vulnerabilidades de dia zero no Exchange Server tendem a causar alvoroço na arena das ameaças cibernéticas ao representar uma séria ameaça para organizações globais que utilizam este popular aplicativo da Microsoft. Pesquisadores do grupo vietnamita de cibersegurança GTSC descobriram recentemente novas vulnerabilidades de dia zero que afetam o Microsoft Exchange Server 2013, 2016 e 2019. Conforme relatam os pesquisadores do GTSC, os dias zero revelados podem ser encadeados para baixar shells web Chinese Chopper, permitindo que atacantes roubem dados sensíveis e realizem movimento lateral no ambiente comprometido. A atividade maliciosa é vinculada a um coletivo de hackers chineses com base na página de código contendo shells web e no uso do AntSword, uma ferramenta de gerenciamento de sites de código aberto chinesa. Pesquisadores de cibersegurança do GTSC notaram que as solicitações na cadeia de exploração mais recente que atinge o aplicativo Microsoft Exchange exibem semelhanças com aquelas usadas em ataques cibernéticos que exploram vulnerabilidades ProxyShell.
Para tomar ações imediatas, o GTSC divulgou um alerta relatando uma campanha de ataque em andamento que explora uma dessas falhas de dia zero por atacantes para executar código remotamente (RCE). Pesquisadores de cibersegurança submeteram esta informação crítica sobre vulnerabilidades de segurança descobertas à Microsoft através da Zero Day Initiative, que identificou essas falhas como ZDI-CAN-18333 e ZDI-CAN-18802.
Em 29 de setembro de 2022, o Centro de Resposta de Segurança da Microsoft emitiu orientação ao cliente para as vulnerabilidades de dia zero no Microsoft Exchange relatadas, com uma lista de medidas de mitigação para remediar a ameaça. A primeira falha é uma vulnerabilidade de Server-Side Request Forgery (SSRF) rastreada como CVE-2022-41040, enquanto a segunda, conhecida como CVE-2022-41082, permite que adversários executem RCE usando PowerShell. Após obter acesso autenticado ao Microsoft Exchange Server e utilizar a CVE-2022-41040, os agentes de ameaça também podem acionar a segunda vulnerabilidade, levando a uma cadeia de exploração.
De acordo com a orientação ao cliente, clientes online usando o Microsoft Exchange não precisam tomar medidas imediatas, visto que os bugs de dia zero divulgados afetam apenas aplicativos locais. Como medidas de mitigação, recomenda-se que usuários de aplicativos locais sigam o conjunto fornecido de Instruções de Reescrita de URL e bloqueiem portas Remote PowerShell comprometidas, incluindo HTTP: 5985 e HTTPS: 5986.
Contexto MITRE ATT&CK®
Para mergulhar no contexto dos dias zero do Microsoft Exchange usados nos ataques em andamento, as regras Sigma mencionadas acima estão mapeadas para o framework MITRE ATT&CK® abordando as táticas e técnicas correspondentes:
