کد اکسپلویت Proof-of-concept به صورت آنلاین برای دو آسیبپذیری فعال و با درجه اهمیت بالا در Microsoft Exchange که مجموعاً به نام ProxyNotShell شناخته میشوند، منتشر شده است.
آسیب پذیری های CVE-2022-41082 و CVE-2022-41040 دو حفره ای هستند که روی Exchange Server های ورژن 2013، 2016 و 2019 اثر داشته و به مهاجم امکان افزایش امتیازات برای اجرای PowerShell در زمینه سیستم و یا اجرای کد دلخواه از راه دور در سرورهای در معرض خطر را میدهد.
مایکروسافت به روز رسانی امنیتی جهت رفع این دو حفره و حتی حملات ProxyNotShell که در اواخر سپتامبر 2022 شناسایی شد را در وصله های امنیتی سه شنبه نوامبر (همین ماه) خود منتشر کرد.
یک هفته پس از انتشار وصله های امنیتی مایکروسافت، محققان امنیتی، PoC اکسپلویتی که مهاجمان به طور گسترده در سرورهای Exchange به صورت Backdoor استفاده کرده بودند را منتشر کردند.
محققان این اکسپلویت را تست کرده و تایید می نمایند در سیستم هایی که از سرور Exchange 2016 و 2019 استفاده میکنند، کار می کند و اضافه کرده اند که این کد برای اجرا در سرورهای Exchange 2013 نیاز به تغییراتی دارد.
شرکت GreyNoise این اکسپلویت ProxyNotShell را تا اواخر سپتامبر دنبال نموده و اطلاعاتی در این خصوص منتشر کرده است.
مهاجمین حداقل از سپتامبر 2022 از دو نقص امنیتی مذکور برای استقرار پوسته های وب Chinese Chopper بر روی سرورهای در معرض خطر به منظور سرقت داده ها و همچنین برای حرکت جانبی در شبکه های قربانیان خود، استفاده نموده اند.
همچنین تایید شده است که به صورت گسترده و فعال در 30ام سپتامبر مورد بهره برداری و سواستفاده قرار گرفته اند.
براساس هشدار تیم Exchange “به دلیل اینکه آسیب پذیری های مذکور به صورت فعال مورد سواستفاده قراره گرفته اند، پیشنهاد می شود که هر چه سریعتر این به روز رسانی ها جهت حفاظت از حملات سایبری، نصب شوند.”
“این آسیب پذیری ها روی سرور های Exchange تاثیر دارد. کاربران آنلاین Exchange در حال حاضر از آسیب پذیری های مذکور محافظت شده اند و نیاز به انجام اقدام خاصی به جز نصب وصله ها ندارند.”
منبع: https://www.bleepingcomputer.com/