Cerca de 70.000 servidores Exchange vulneráveis ​​ao ProxyNotShell

Cerca de 70.000 servidores Exchange vulneráveis ​​ao ProxyNotShell
Duas vulnerabilidades de segurança, rastreadas como CVE-2022-41082 e CVE-2022-41040 e coletivamente conhecidas como ProxyNotShell
Compartilhe

Duas vulnerabilidades de segurança, rastreadas como CVE-2022-41082 e CVE-2022-41040 e coletivamente conhecidas como ProxyNotShell, afetam os servidores Microsoft Exchange 2013, 2016 e 2019. A exploração bem-sucedida permite que invasores aumentem privilégios e obtenham execução arbitrária de código em servidores infectados.

Atores de ameaças têm abusado do ProxyNotShell desde que foi divulgado e, recentemente, pesquisadores de segurança descobriram que milhares de servidores Exchange são vulneráveis ​​à exploração do bug.

Mergulhando nos detalhes

A Shadowserver Foundation twittou que cerca de 70.000 servidores Microsoft Exchange são vulneráveis ​​a ataques ProxyNotShell.

  • Mais de 60.000 dos servidores ainda precisam ser corrigidos contra a falha CVE-2022-41082.
  • No entanto, novos dados revelaram que o número de servidores vulneráveis ​​diminuiu de 83.946 em dezembro de 2022 para 60.865 em 2 de janeiro.
  • O maior número de servidores Exchange vulneráveis ​​está localizado na Europa (31.578), seguido pela América do Norte (18.210) e Ásia (6.692), desde 2 de janeiro.

Ignorando mitigações

Ao pesquisar a atividade do ransomware Play , os pesquisadores da Crowdstrike descobriram uma nova técnica de exploração (OWASSRF) explorando servidores Microsoft Exchange.

  • Os atores da ameaça abusaram do CVE-2022-41080 e do CVE-2022-41082, uma das falhas do ProxyNotShell.
  • Eles se infiltraram no Outlook Web Access (OWA) e aproveitaram o AnyDesk e o Plink para manter o acesso.
  • Essa tática permite que os operadores de ransomware do Play ignorem as mitigações de reescrita de URL do ProxyNotShell e obtenham a execução remota do código.

Servidores Exchange em risco

  • No mês passado, os hackers FIN7 foram encontrados usando um ataque automatizado que abusa da injeção de SQL e dos bugs do Microsoft Exchange para violar redes corporativas, roubar dados e escolher alvos com base no tamanho da organização.
  • Essa plataforma de ataque já foi usada para comprometer 8.147 empresas, principalmente nos EUA, depois de escanear mais de 1,8 milhão de alvos.

A linha de fundo

Os servidores Microsoft Exchange são alvos lucrativos para agentes de ameaças, conforme demonstrado por todas as tentativas de exploração bem-sucedidas de falhas como ProxyNotShell e OWASSRF. Além disso, uma vez que as medidas de mitigação podem ser evitadas, apenas os servidores completamente corrigidos estão a salvo de comprometimento.