Surnommé ProxyNotShell, un nouvel exploit utilisé dans la nature tire parti de la vulnérabilité CVE-2022-41040 Microsoft Server-Side Request Forgery (SSRF) récemment publiée et d’une deuxième vulnérabilité, CVE-2022-41082, qui permet l’exécution de code à distance (RCE) lorsque PowerShell est disponible pour les attaquants non identifiés.
Basé sur ProxyShell, ce nouveau risque d’abus zero-day exploite une attaque en chaîne similaire à celle utilisée dans l’attaque ProxyShell de 2021 qui exploitait la combinaison de plusieurs vulnérabilités – CVE-2021-34523, CVE-2021-34473 et CVE-2021- 31207 – pour permettre à un acteur distant d’exécuter du code arbitraire.
Malgré la gravité potentielle des attaques qui les utilisent, les vulnérabilités ProxyShell figurent toujours sur la liste CISA des principales vulnérabilités régulièrement exploitées en 2021.
Découvrez ProxyNotShell
Enregistré le 19 septembre 2022, CVE-2022-41082 est un vecteur d’attaque ciblant les serveurs Exchange de Microsoft, permettant des attaques de faible complexité avec peu de privilèges requis. Les services impactés, s’ils sont vulnérables, permettent à un attaquant authentifié de compromettre le serveur d’échange sous-jacent en exploitant le PowerShell d’échange existant, ce qui pourrait entraîner une compromission complète.
À l’aide de CVE-2022-41040, une autre vulnérabilité Microsoft également enregistrée le 19 septembre 2022, un attaquant peut déclencher à distance CVE-2022-41082 pour exécuter des commandes à distance.
Bien qu’un utilisateur doive avoir le privilège d’accéder à CVE-2022-41040, ce qui devrait réduire l’accessibilité de la vulnérabilité aux attaquants, le niveau de privilège requis est faible.
Au moment de la rédaction de cet article, Microsoft n’a pas encore publié de correctif, mais recommande aux utilisateurs ajouter une règle de blocage comme mesure d’atténuation.
Les deux vulnérabilités ont été découvertes lors d’une attaque active contre GTSC, une organisation vietnamienne appelée GTSC, permettant aux attaquants d’accéder à certains de leurs clients. Bien qu’aucune vulnérabilité en soi ne soit particulièrement dangereuse, les exploits les enchaînant pourraient potentiellement conduire à des violations catastrophiques.
Les vulnérabilités enchaînées pourraient donner à un attaquant extérieur la possibilité de lire les e-mails directement depuis le serveur d’une organisation, la possibilité de violer l’organisation avec CVE-2022-41040 Remote Code Execution et d’implanter des logiciels malveillants sur le serveur Exchange de l’organisation avec CVE-2022-41082.
Bien qu’il semble que les attaquants auraient besoin d’un certain niveau d’authentification pour activer l’exploit de vulnérabilités en chaîne, le niveau exact d’authentification requis – noté « Faible » par Microsoft – n’est pas encore clarifié. Pourtant, ce faible niveau d’authentification requis devrait empêcher efficacement une attaque massive et automatisée ciblant tous les serveurs Exchange du monde entier. Espérons que cela empêchera une répétition de la débâcle ProxyShell 2021.
Pourtant, trouver une seule combinaison adresse e-mail/mot de passe valide sur un serveur Exchange donné ne devrait pas être trop difficile, et, comme cette attaque contourne la validation du jeton MFA ou FIDO pour se connecter à Outlook Web Access, une seule combinaison adresse e-mail/mot de passe compromise est tout. cela est nécessaire.
Atténuation de l’exposition à ProxyNotShell
Au moment de la rédaction de cet article, Microsoft n’a pas encore publié de correctif, mais recommande aux utilisateurs ajouter une règle de blocage comme mesure d’atténuation d’efficacité inconnue.
Le blocage du trafic entrant vers les serveurs Exchange contenant des assertions critiques est également une option, bien que réalisable uniquement si une telle mesure n’affecte pas les opérations vitales et devrait idéalement être perçue comme une mesure temporaire en attendant la publication par Microsoft d’un correctif vérifié.
Évaluation de l’exposition à ProxyNotShell
Comme les options d’atténuation actuelles sont soit d’une efficacité non vérifiée, soit potentiellement préjudiciables au bon déroulement des opérations, l’évaluation du degré d’exposition à ProxyNotShell pourrait empêcher de prendre des mesures préventives inutiles potentiellement perturbatrices, ou indiquer quels actifs migrer de manière préventive vers des serveurs non exposés.
Cymulate Research Lab a développé un évaluation sur mesure pour ProxyNotShell qui permettent aux organisations d’estimer précisément leur degré d’exposition à ProxyNotShell.
Un vecteur d’attaque ProxyNotShell a été ajouté aux modèles de scénarios avancés, et son exécution sur votre environnement fournit les informations nécessaires pour valider l’exposition – ou son absence – à ProxyNotShell.
Jusqu’à ce que des correctifs vérifiés soient disponibles auprès de Microsoft, évaluer l’exposition à ProxyNotShell pour évaluer exactement quels serveurs sont des cibles potentielles est le moyen le plus rentable d’évaluer exactement quels actifs sont exposés et de concevoir des mesures préventives ciblées avec un impact maximal.