- 13,887
- 20
- 8 Ноя 2022
Известно, что ProxyNotShell использовался в реальных атаках, например, для установки China Chopper.
ProxyNotShell – эксплойт, который использует две опасные уязвимости, затрагивающие Microsoft Exchange Server 2013, 2016 и 2019:
- Для просмотра ссылки Войди
или Зарегистрируйся (CVSS: 8,8) – уязвимость Microsoft Exchange Server, связанная с несанкционированным получением прав. Она позволяет удаленно эксплуатировать вторую уязвимость;
- Для просмотра ссылки Войди
или Зарегистрируйся (CVSS: 8,8) – уязвимость Microsoft Exchange Server, которая позволяет авторизованному киберпреступнику скомпрометировать базовый сервер Exchange с помощью PowerShell, что может привести к полной компрометации.
Microsoft выпустила исправления для этих двух уязвимостей в рамках ноябрьского вторника исправлений 2022 года. А всего через неделю после релиза исправлений исследователь под ником Для просмотра ссылки Войди
Уилл Дорманн, старший аналитик уязвимостей в ANALYGENCE, протестировал эксплойт и подтвердил, что он работает против систем под управлением Exchange Server 2016 и 2019, и добавил, что код нужно немного подправить, чтобы он работал против Exchange Server 2013.
Компания GreyNoise, занимающаяся анализом угроз, отслеживает эксплуатацию ProxyNotShell с конца сентября и предоставляет информацию об Для просмотра ссылки Войди
По словам специалистов, злоумышленники использовали CVE-2022-41040 и CVE-2022-41082 с сентября 2022 года. Уязвимости были необходимы для установки веб-оболочек China Chopper на взломанных серверах, кражи данных и бокового перемещения в сетях жертв.
Команда Exchange Team подтвердила факт активного использования ProxyNotShell и порекомендовала пользователям как можно скорее установить последние обновления для Microsoft Exchange Server.
- Источник новости
- https://www.securitylab.ru/news/534869.php
