Publication d’un programme d’exploitation pour le bogue ProxyNotShell Exchange activement exploité

Pour deux vulnérabilités de haute gravité dans Microsoft Exchange qui sont actuellement activement exploitées, connues sous le nom de ProxyNotShell, un code d’exploitation de preuve de concept a été mis en ligne.

Les deux bogues, identifiés comme CVE-2022-41082 et CVE-2022-41040, affectent Microsoft Exchange Server 2013, 2016 et 2019 et donnent aux pirates l’accès à des privilèges élevés qui leur permettent d’exécuter PowerShell dans le contexte du système et d’exécuter du code arbitraire ou à distance sur les serveurs compromis.

Malgré le fait que les attaques utilisant ProxyNotShell sont connues depuis au moins septembre 2022, Microsoft a publié des mises à jour de sécurité pour corriger les deux failles de sécurité dans le cadre du Patch Tuesday de novembre 2022.

Le chercheur en sécurité Janggggg a publié l’exploit de preuve de concept (PoC) que les attaquants ont utilisé dans la nature pour ouvrir une porte dérobée sur les serveurs Exchange une semaine après que Microsoft ait publié des mises à jour de sécurité pour ProxyNotShell.

L’exploit a été testé par Will Dormann, analyste principal des vulnérabilités chez ANALYGENCE, qui a confirmé qu’il est efficace contre les systèmes exécutant Exchange Server 2016 et 2019 et a ajouté que le code nécessite quelques modifications pour le rendre efficace contre les cibles Exchange Server 2013.

Depuis fin septembre, la société de renseignement sur les menaces GreyNoise surveille l’exploitation de ProxyNotShell. Elle fournit des informations sur l’activité d’analyse de ProxyNotShell ainsi qu’une liste d’adresses IP connectées à ces attaques.

Depuis au moins septembre 2022, les attaquants exploitent conjointement les deux failles de sécurité pour installer des shells web Chinese Chopper sur des serveurs compromis à des fins de persistance, de vol de données et de déplacement latéral à l’intérieur des réseaux de leurs victimes.

Le 30 septembre, Redmond a ajouté qu’il était ” au courant d’attaques ciblées limitées utilisant les deux vulnérabilités pour compromettre les systèmes des utilisateurs “, confirmant qu’elles étaient activement exploitées dans la nature.

L’équipe Exchange a émis un avertissement à la suite de la publication des correctifs, déclarant : “Étant donné que nous sommes au courant d’exploitations actives de vulnérabilités connexes (attaques ciblées limitées), nous recommandons d’installer ces mises à jour immédiatement pour être protégé contre ces attaques.”

[Notre accent]

“Exchange Server est affecté par ces failles. Les clients d’Exchange Online sont déjà protégés contre les vulnérabilités traitées dans ces SU et ne sont tenus de mettre à jour que les serveurs Exchange présents dans leur environnement.”

Les attaquants auraient utilisé les deux failles de sécurité en chaîne pour déployer des shells web Chinese Chopper sur des serveurs compromis, selon les chercheurs en sécurité de l’organisme vietnamien de cybersécurité GTSC, qui a été le premier à remarquer et à signaler les attaques.