Na semana passada, a Microsoft confirmou a existência de duas vulnerabilidades zero-day (CVE-2022-41040 e CVE-2022-41082) que estão sendo utilizadas em campanhas para obter acesso aos servidores do Microsoft Exchange e executar código de forma remota em sistemas atacados. As duas falhas afetam as versões 2013, 2016 e 2019 do Microsoft Exchange Server.
Há três semanas, os pesquisadores da empresa GTSC detectaram ataques a infraestruturas críticas nos quais as duas vulnerabilidades estavam sendo utilizadas. Os pesquisadores, responsáveis pela descoberta das falhas, reportaram o caso ao programa Zero Day Initiative.
De acordo com a Microsoft, a CVE-2022-41040 é uma vulnerabilidade do tipo Server Side Request Forgery (SSRF), enquanto que a CVE-2022-41082 permite a execução de código remoto (RCE) quando o PowerShell pode ser acessado por um cibercriminoso. É importante notar que para explorar com sucesso a vulnerabilidade, o atacante precisa de permissões de autenticação para o servidor do Exchange.
O pesquisador Keavin Beaumont, que batizou essas duas vulnerabilidades zero-day de ProxyNotShell, afirmou que as duas falhas são semelhantes a uma série de vulnerabilidades críticas no servidor Microsoft Exchange conhecidas como ProxyShell, que depois de serem reportadas no início de 2021 começaram a ser utilizadas por cibercriminosos em campanhas em todo o mundo.
No artigo publicado em 29 de setembro pela GTSC, a empresa explica os detalhes e destaca medidas temporárias de contenção direcionadas às organizações que utilizam seu sistema de e-mail do Exchange, enquanto a Microsoft libera um patch.
Além disso, a Microsoft compartilhou em outro artigo uma análise dos ataques que foram detectados (até agora) e que estão explorando essas vulnerabilidades. A empresa também revelou que esses ataques começaram com uma solicitação enviada à porta 443 para, em seguida, explorar ambas vulnerabilidades com o intuito de permitir que os atacantes realizassem ações de reconhecimento, movimento lateral e exfiltração de dados.
Como mitigar os impactos do ProxyNotShell?
A Microsoft também publicou um artigo no qual destaca formas de como reduzir o impacto das duas falhas zero-day no Exchange e orienta desativar o acesso ao PowerShell para usuários que não contem com permissões de administrador dentro das empresas. Entretanto, pesquisadores no Twitter alertaram que esta mitigação fornecida pela Microsoft não é suficiente para servidores on premise e pode ser facilmente contornada por um atacante. O analista Will Dorman compartilha este ponto de vista e considera a mitigação insuficiente.
Assim como explica um artigo publicado pelo site BleepingComputer, o comunicado da Microsoft destaca informações sobre como mitigar essas vulnerabilidades para os clientes que utilizam o Exchange on premise, enquanto os clientes que utilizam o Exchange on-line não precisam realizar nenhuma ação; no entanto, muitas empresas utilizam um sistema híbrido, o que as torna vulneráveis. Beaumont explicou que existem muitas empresas que têm o Exchange configurada sob um sistema híbrido e que atualmente de acordo com o Shodan existem mais de 1.200 empresa que usam este modelo.
Na publicação da GTSC, a empresa compartilhou uma ferramenta para verificar se seus servidores do Exchange foram comprometidos pela exploração desta vulnerabilidade, enquanto a comunidade de segurança já começou a publicar ferramentas para procurar servidores do Exchange vulneráveis ao ProxyNotShell.
Falsos exploits estão à venda no GitHub
Outra notícia que surgiu nas últimas horas e que explica em parte o impacto dessas duas vulnerabilidades zero-day é o fato de que cibercriminosos estão se fazendo passar por pesquisadores de segurança e aproveitando o interesse gerado para vender falsos exploits para a ProxyNotShell no GitHub. Como reportado por um pesquisador de segurança no Twitter, cinco contas já foram excluídas na rede social. O que os golpistas estão fazendo é levar as potenciais vítimas a uma página na qual podem "comprar" o falso exploits em Bitcoin por até 400 mil dólares.
Até o momento, a Microsoft ainda não lançou um patch para corrigir essas vulnerabilidades.