На прошлой неделе стало известно о кибератаке, в которой используется новая уязвимость в почтовом сервере Microsoft Exchange. Через два дня после публикации вьетнамской компании GTSC корпорация Microsoft признала наличие проблемы. По факту в Exchange присутствует две уязвимости нулевого дня, которые пока не закрыты. Уязвимость CVE-2022-41040 относится к классу Server-Side Request Forgery и позволяет авторизованному пользователю выполнять на сервере команды PowerShell.
Вторая уязвимость, CVE-2022-41082, обеспечивает выполнение произвольного кода при наличии доступа к PowerShell. Соответственно, их комбинация позволяет получить полный контроль над почтовым сервером. В реальной атаке, проанализированной GTSC, на сервере устанавливался бэкдор для дальнейшего анализа корпоративной сети и кражи данных. Атака очень похожа на набор уязвимостей ProxyShell, обнаруженный весной 2021 года. В том случае также использовалась уязвимость типа SSRF с последующим выполнением произвольного кода. Но есть и важное отличие: атака ProxyShell полностью обходила систему авторизации. Для новой атаки сначала потребуется получить доступ к любой учетной записи в Microsoft Exchange.
Источники информации:
Кевин Бьюмон, бывший сотрудник Microsoft, в свое время активно освещавший драму вокруг ProxyShell, предложил для нового набора уязвимостей название ProxyNotShell. Его авторству также принадлежит «логотип», показанный выше. Сходство с ProxyShell было настолько очевидным, что поначалу Кевин предположил, что именно эту уязвимость снова используют в атаках. Но буквально через день Microsoft сообщила, что речь идет о новом наборе проблем в почтовом сервере — отсюда и новое название.
Организация GTSC обнаружила не-ProxyShell еще в начале августа 2022 года во время рутинного анализа корпоративной сети клиента на безопасность. Тогда же о проблеме сообщили в Microsoft, а данные о двух уязвимостях были внесены в базу инициативы Zero Day Initiative. По оценке GTSC, уровень опасности двух дыр в Exchange составляет соответственно 8,8 балла из 10 для SSRF-уязвимости и 6,3 для RCE через оболочку PowerShell. Патча для Exchange пока нет, но есть временное решение: запретить обращения к PowerShell вовсе — путем добавления правила в веб-сервер Microsoft IIS:
Как это обычно происходит с «горячими уязвимостями», первоначальное решение (вариант правила, блокирующего запросы к Powershell), предложенное GTSC, можно было легко обойти. А способ, предложенный в публикации Microsoft (см. выше), считается рабочим. В отличие от ProxyShell, для проведения успешной атаки с помощью ProxyNotShell требуется взломать учетную запись пользователя на почтовом сервере. Если успешно украсть данные для доступа к серверу, то становится достаточно просто получить максимальные привилегии. Новая атака вряд ли приведет к масштабной эпидемии, как это случилось с ProxyShell, но может стать популярным инструментом для таргетированных атак. Именно такую атаку наблюдали представители GTSC во Вьетнаме. Кстати, Кевин Бьюмон в ходе подготовки публикации о новой уязвимости обнаружил, что серверов без патча для старой атаки ProxyShell по-прежнему находится довольно много.
Эксперты «Лаборатории Касперского» опубликовали подробный отчет об уязвимостях в протоколе Schneider Electric UMAS, который используется в промышленных устройствах компании. Еще одна публикация описывает деятельность группировки Prilex, атакующей банкоматы и платежные терминалы в Бразилии.
Издание Ars Technica рассказывает, как временный перехват контроля над IP-адресами Amazon Web Services (так называемая атака BGP hijack) привел к краже значительных средств в криптовалюте.
Разработчики открытой платформы Matrix выпустили патчи, закрывающие критическую уязвимость в протоколе шифрования данных. Уязвимость теоретически позволяла получить доступ к данным, передаваемым с помощью шифрования end-to-end.
Вторая уязвимость, CVE-2022-41082, обеспечивает выполнение произвольного кода при наличии доступа к PowerShell. Соответственно, их комбинация позволяет получить полный контроль над почтовым сервером. В реальной атаке, проанализированной GTSC, на сервере устанавливался бэкдор для дальнейшего анализа корпоративной сети и кражи данных. Атака очень похожа на набор уязвимостей ProxyShell, обнаруженный весной 2021 года. В том случае также использовалась уязвимость типа SSRF с последующим выполнением произвольного кода. Но есть и важное отличие: атака ProxyShell полностью обходила систему авторизации. Для новой атаки сначала потребуется получить доступ к любой учетной записи в Microsoft Exchange.
Источники информации:
- Обзорная статья на Bleeping Computer.
- Изначальная публикация на сайте вьетнамской компании GTSC.
- Обновляемый отчет на сайте Microsoft с рекомендациями.
- Статья специалиста по безопасности Кевина Бьюмона.
Кевин Бьюмон, бывший сотрудник Microsoft, в свое время активно освещавший драму вокруг ProxyShell, предложил для нового набора уязвимостей название ProxyNotShell. Его авторству также принадлежит «логотип», показанный выше. Сходство с ProxyShell было настолько очевидным, что поначалу Кевин предположил, что именно эту уязвимость снова используют в атаках. Но буквально через день Microsoft сообщила, что речь идет о новом наборе проблем в почтовом сервере — отсюда и новое название.
Организация GTSC обнаружила не-ProxyShell еще в начале августа 2022 года во время рутинного анализа корпоративной сети клиента на безопасность. Тогда же о проблеме сообщили в Microsoft, а данные о двух уязвимостях были внесены в базу инициативы Zero Day Initiative. По оценке GTSC, уровень опасности двух дыр в Exchange составляет соответственно 8,8 балла из 10 для SSRF-уязвимости и 6,3 для RCE через оболочку PowerShell. Патча для Exchange пока нет, но есть временное решение: запретить обращения к PowerShell вовсе — путем добавления правила в веб-сервер Microsoft IIS:
“.*autodiscover\.json.*\@.*Powershell.*
Как это обычно происходит с «горячими уязвимостями», первоначальное решение (вариант правила, блокирующего запросы к Powershell), предложенное GTSC, можно было легко обойти. А способ, предложенный в публикации Microsoft (см. выше), считается рабочим. В отличие от ProxyShell, для проведения успешной атаки с помощью ProxyNotShell требуется взломать учетную запись пользователя на почтовом сервере. Если успешно украсть данные для доступа к серверу, то становится достаточно просто получить максимальные привилегии. Новая атака вряд ли приведет к масштабной эпидемии, как это случилось с ProxyShell, но может стать популярным инструментом для таргетированных атак. Именно такую атаку наблюдали представители GTSC во Вьетнаме. Кстати, Кевин Бьюмон в ходе подготовки публикации о новой уязвимости обнаружил, что серверов без патча для старой атаки ProxyShell по-прежнему находится довольно много.
Что еще произошло
Эксперты «Лаборатории Касперского» опубликовали подробный отчет об уязвимостях в протоколе Schneider Electric UMAS, который используется в промышленных устройствах компании. Еще одна публикация описывает деятельность группировки Prilex, атакующей банкоматы и платежные терминалы в Бразилии.
Издание Ars Technica рассказывает, как временный перехват контроля над IP-адресами Amazon Web Services (так называемая атака BGP hijack) привел к краже значительных средств в криптовалюте.
Разработчики открытой платформы Matrix выпустили патчи, закрывающие критическую уязвимость в протоколе шифрования данных. Уязвимость теоретически позволяла получить доступ к данным, передаваемым с помощью шифрования end-to-end.