Apodado ProxyNotShell, un nuevo exploit utilizado en la naturaleza aprovecha la vulnerabilidad de Microsoft Server-Side Request Forgery (SSRF) recientemente publicada CVE-2022-41040 y una segunda vulnerabilidad, CVE-2022-41082 que permite la ejecución remota de código (RCE) cuando PowerShell está disponible para atacantes no identificados.
Basado en ProxyShell, este nuevo riesgo de abuso de día cero aprovecha un ataque encadenado similar al utilizado en el ataque ProxyShell de 2021 que explotó la combinación de múltiples vulnerabilidades: CVE-2021-34523, CVE-2021-34473 y CVE-2021- 31207: para permitir que un actor remoto ejecute código arbitrario.
A pesar de la gravedad potencial de los ataques que los utilizan, las vulnerabilidades de ProxyShell todavía se encuentran en la lista de CISA de las principales vulnerabilidades explotadas de forma rutinaria en 2021.
Conoce a ProxyNotShell
Grabado el 19 de septiembre de 2022, CVE-2022-41082 es un vector de ataque dirigido a los servidores Exchange de Microsoft, lo que permite ataques de baja complejidad con pocos privilegios requeridos. Los servicios afectados, si son vulnerables, permiten que un atacante autenticado comprometa el servidor de intercambio subyacente aprovechando el PowerShell de intercambio existente, lo que podría resultar en un compromiso total.
Con la ayuda de CVE-2022-41040, otra vulnerabilidad de Microsoft también registrada el 19 de septiembre de 2022, un atacante puede activar de forma remota CVE-2022-41082 para ejecutar comandos de forma remota.
Aunque un usuario debe tener el privilegio para acceder a CVE-2022-41040, lo que debería reducir la accesibilidad de la vulnerabilidad a los atacantes, el nivel de privilegio requerido es bajo.
Al momento de escribir este artículo, Microsoft aún no ha emitido un parche, pero recomienda que los usuarios añadir una regla de bloqueo como medida de mitigación.
Ambas vulnerabilidades se descubrieron durante un ataque activo contra GTSC, una organización vietnamita llamada GTSC, que otorga a los atacantes acceso a algunos de sus clientes. Aunque ninguna de las vulnerabilidades por sí sola es particularmente peligrosa, los exploits que las encadenan podrían conducir potencialmente a infracciones catastróficas.
Las vulnerabilidades encadenadas podrían otorgar a un atacante externo la capacidad de leer correos electrónicos directamente desde el servidor de una organización, la capacidad de violar la organización con CVE-2022-41040 Remote Code Execution e implantar malware en el Exchange Server de la organización con CVE-2022-41082.
Aunque parece que los atacantes necesitarían cierto nivel de autenticación para activar el exploit de vulnerabilidades encadenadas, el nivel exacto de autenticación requerido, calificado como «Bajo» por Microsoft, aún no se aclara. Sin embargo, este bajo nivel de autenticación requerido debería prevenir efectivamente un ataque masivo y automatizado dirigido a todos los servidores de Exchange en todo el mundo. Con suerte, esto evitará una repetición de la debacle de ProxyShell de 2021.
Sin embargo, encontrar una sola combinación válida de dirección de correo electrónico/contraseña en un servidor de Exchange determinado no debería ser demasiado difícil y, como este ataque pasa por alto la validación del token MFA o FIDO para iniciar sesión en Outlook Web Access, una sola combinación de dirección de correo electrónico/contraseña comprometida es todo. eso es necesario
Mitigación de la exposición de ProxyNotShell
Al momento de escribir este artículo, Microsoft aún no ha emitido un parche, pero recomienda que los usuarios añadir una regla de bloqueo como medida de mitigación de eficacia desconocida.
El bloqueo del tráfico entrante a los servidores de Exchange que contienen afirmaciones críticas también es una opción, aunque solo es factible si dicha medida no afecta las operaciones vitales e idealmente debería percibirse como una medida temporal pendiente de la emisión de un parche verificado por parte de Microsoft.
Evaluación de la exposición de ProxyNotShell
Dado que las opciones de mitigación actuales tienen una eficacia no verificada o pueden dañar el buen funcionamiento de las operaciones, evaluar el grado de exposición a ProxyNotShell podría evitar la adopción de medidas preventivas innecesarias potencialmente perjudiciales o indicar qué activos migrar de forma preventiva a servidores no expuestos.
Cymulate Research Lab ha desarrollado un evaluación personalizada para ProxyNotShell que permiten a las organizaciones estimar exactamente su grado de exposición a ProxyNotShell.
Se agregó un vector de ataque ProxyNotShell a las plantillas de escenarios avanzados, y ejecutarlo en su entorno genera la información necesaria para validar la exposición, o la falta de ella, a ProxyNotShell.
Hasta que los parches verificados estén disponibles de Microsoft, evaluar la exposición a ProxyNotShell para evaluar exactamente qué servidores son objetivos potenciales es la forma más rentable de evaluar exactamente qué activos están expuestos y diseñar medidas preventivas específicas con el máximo impacto.