O que é ProxyNotShell?
ProxyNotShell é o nome dado a um conjunto de vulnerabilidades críticas que afetam o Microsoft Exchange Server, descobertas em setembro de 2022. As falhas, registradas como CVE-2022-41040 e CVE-2022-41082, permitem que um atacante autenticado acesse remotamente caixas de correio e execute código arbitrário no servidor. A Microsoft emitiu patches de emergência para corrigir os problemas, mas a exploração ativa foi detectada antes da liberação das atualizações.
As vulnerabilidades foram batizadas de ProxyNotShell em referência ao ProxyLogon, outro conjunto de falhas que afetou o Exchange em 2021. Enquanto o ProxyLogon não exigia autenticação, o ProxyNotShell requer credenciais válidas para a exploração inicial, o que reduz o vetor de ataque, mas ainda representa uma ameaça significativa para ambientes corporativos.
Detalhes das CVEs
A CVE-2022-41040 é uma vulnerabilidade do tipo Server-Side Request Forgery (SSRF) que permite ao atacante enviar solicitações HTTP arbitrárias a partir do servidor Exchange. Já a CVE-2022-41082 é uma vulnerabilidade de execução remota de código (RCE) que pode ser acionada quando o atacante consegue acesso ao PowerShell remoto do Exchange.
O vetor de ataque típico envolve o envio de uma requisição HTTP autenticada ao servidor Exchange. A vulnerabilidade SSRF (CVE-2022-41040) é usada para contornar restrições de rede e alcançar o serviço PowerShell remoto. Uma vez conectado, o atacante pode usar a CVE-2022-41082 para executar comandos arbitrários, como adicionar usuários, extrair dados ou implantar malware.
A Microsoft observou que a sequência de exploração é relativamente simples, exigindo apenas conhecimento básico do protocolo Exchange Web Services (EWS).
Versões afetadas
O ProxyNotShell afeta as seguintes versões do Microsoft Exchange Server: 2013, 2016 e 2019. O Exchange Online não foi impactado. A Microsoft lançou atualizações de segurança fora do ciclo normal (Out-of-Band) para versões com suporte estendido.
Sinais de comprometimento
Administradores devem verificar logs de acesso ao Exchange em busca de requisições suspeitas ao diretório /autodiscover/ e ao PowerShell remoto. Ferramentas de monitoramento podem detectar tentativas de exploração. A presença de comandos PowerShell incomuns executados no servidor também é um indicador.
Mitigação e proteção
A principal medida de mitigação é aplicar os patches de segurança fornecidos pela Microsoft. Além disso, recomenda-se desabilitar o PowerShell remoto se não for estritamente necessário, restringir o acesso ao Exchange Web Services (EWS) e utilizar soluções de segurança que detectem comportamentos anômalos. Manter o servidor atualizado com as últimas correções cumulativas é fundamental.
Conclusão
O ProxyNotShell destaca a importância de manter a infraestrutura de e-mail protegida contra vulnerabilidades críticas. Organizações que utilizam Exchange Server devem priorizar a aplicação de patches e adotar boas práticas de segurança para minimizar o risco de exploração. Acompanhe as notícias em nosso site para ficar por dentro das últimas ameaças e defesas.
Confira mais artigos sobre segurança em nossas categorias: ATAQUES, VAZAMENTO DE DADOS, BLUE TEAM, DEFESA. Assine nossa newsletter para receber atualizações.