Proxynotshell

ProxyNotShell利用了最近发布的Microsoft Server-Side Request Forgery ( SSRF )漏洞CVE – 2022 – 41040和第二个漏洞CVE – 2022 – 41082，当PowerShell可供不明攻击者使用时，该漏洞允许远程代码执行( RCE )。

基于ProxyShell，这种新的zero day滥用风险利用了一种类似于2021 ProxyShell攻击中使用的链式攻击，该攻击利用多个漏洞- – CVE – 2021 – 34523、CVE – 2021 – 34473和CVE – 2021 – 31207 ——的组合来允许远程参与者执行任意代码。

尽管使用它们的攻击具有潜在的严重性，但ProxyShell漏洞仍在CISA的2021年最受欢迎的漏洞列表中。

遇到ProxyNotShell

    CVE – 2022 – 41082记录于2022年9月19日，是一个针对微软Exchange服务器的攻击向量，实现了低复杂度、低权限的攻击。受影响的服务，如果易受攻击，可使经过身份验证的攻击者通过利用现有的交换PowerShell来危害底层交换服务器，从而导致完全的危害。

在CVE – 2022 – 41040的帮助下，另一个Microsoft漏洞也记录在2022年9月19日，攻击者可以远程触发CVE – 2022 – 41082远程执行命令。

虽然用户需要具有访问CVE – 2022 – 41040的权限，这会降低攻击者对漏洞的可访问性，但所需的权限级别较低。

在撰写本文时，Microsoft尚未发布修补程序，但建议用户添加阻止规则作为缓解措施。

这两个漏洞都是在一个名为GTSC的越南组织GTSC的主动攻击中发现的，该组织允许攻击者访问他们的一些客户。尽管脆弱性本身并不特别危险，但将它们联系在一起的利用可能会导致灾难性的破坏。

链接的漏洞可能使外部攻击者能够直接从组织服务器读取电子邮件，从而能够使用CVE – 2022 – 41040远程代码执行来破坏组织，并使用CVE – 2022 – 41082在组织的Exchange Server上植入恶意软件。

虽然攻击者似乎需要一定程度的身份验证来激活链式漏洞利用，但所需的身份验证的确切级别——由微软评级为”低” ——尚未澄清。然而，这种所需的低身份验证级别应能有效防止针对全球每个Exchange服务器的大规模自动化攻击。这有望阻止2021年ProxyShell崩溃的重演。

然而，在给定的Exchange服务器上找到单个有效的电子邮件地址/密码组合应该不会过于困难，而且，由于此攻击绕过MFA或FIDO令牌验证登录到Outlook Web Access，因此只需要一个受损的电子邮件地址/密码组合。

缓解Proxynotshell暴露

在撰写本文时，Microsoft尚未发布修补程序，但建议用户添加阻止规则作为未知功效的缓解措施。

阻止传入的流量到持有关键断言的Exchange服务器也是一种选择，尽管只有在这种措施不影响关键操作的情况下才是可行的，并且在理想情况下应该被视为在微软发布经过验证的补丁之前的临时措施。

评估Proxynotshell暴露

由于当前的缓解选项要么是未经验证的有效性，要么可能对操作的平稳运行造成损害，因此评估ProxyNotShell的暴露程度可能会防止采取潜在的破坏性不必要的预防措施，或者指示哪些资产会抢先迁移到未暴露的服务器。

 Cymulate Research Lab为ProxyNotShell开发了一个定制的评估，使组织能够准确地估计他们对ProxyNotShell的暴露程度。

一个ProxyNotShell攻击向量已经添加到高级场景模板中，并且在您的环境中运行它将产生必要的信息来验证ProxyNotShell的暴露(或缺乏)。

在微软提供经过验证的补丁之前，评估ProxyNotShell的曝光度以准确评估哪些服务器是潜在目标，是准确评估哪些资产被曝光并制定有针对性的、影响最大的先发制人措施的最具成本效益的方法。