Konsept Kanıtı İstismar Kodu, toplu olarak Proxynotshell olarak bilinen Microsoft Exchange'de aktif olarak sömürülen iki ve yüksek şiddetli güvenlik açıkları için çevrimiçi olarak piyasaya sürüldü.
CVE-2022-41082 ve CVE-2022-41040 olarak izlenen iki hata, Microsoft Exchange Server 2013, 2016 ve 2019'u etkiler ve saldırganların PowerShell'i sistem bağlamında çalıştırmak için ayrıcalıkları artırmasına izin verir ve uzlaşmış sunucular.
Microsoft, en az Eylül 2022'den beri proxynotshell saldırıları tespit edilmesine rağmen, Salı günü Kasım 2022 yamasının bir parçası olarak iki güvenlik kusurunu ele almak için güvenlik güncellemeleri yayınladı.
Microsoft Proxynotshell Güvenlik Güncellemeleri yayınladıktan bir hafta sonra, Güvenlik Araştırmacısı Janggggg, Kavram Kanıtı (POC) istismar saldırganlarının vahşi doğa değişim sunucularını vahşi doğada kullandıklarını yayınladı.
Analycence'da kıdemli bir güvenlik açığı analisti olan Will Dormann, istismarı test etti ve Exchange Server 2016 ve 2019'u çalıştıran Systems'ı çalıştırdığını doğruladı ve kodun Exchange Server 2013'ü hedeflerken çalışmasını sağlamak için biraz ince ayar yapması gerektiğini de sözlerine ekledi.
Tehdit İstihbarat Şirketi Greynoise, Eylül ayı sonundan beri Proxynotshell sömürüsünü izliyor ve Proxynotshell tarama etkinliği ve bu saldırılara bağlı IP adreslerinin bir listesi hakkında bilgi sağlıyor.
Saldırganlar, kalıcılık ve veri hırsızlığı için uzlaşmış sunuculara Çin kıyıcı web kabuklarını ve en azından Eylül 2022'den beri kurbanlarının ağlarındaki yanal hareket için iki güvenlik kusurunu zincirliyorlar.
Redmond ayrıca 30 Eylül'de Wild'da aktif olarak istismar edildiklerini ve "kullanıcıların sistemlerine girmek için iki güvenlik açıklarını kullanarak sınırlı hedefli saldırıların farkında olduğunu" söyledi.
Değişim ekibi, "İlgili güvenlik açıklarının aktif istismarlarının (sınırlı hedefli saldırılar) farkında olduğumuz için, önerimiz bu güncellemeleri bu saldırılara karşı korunmak için derhal kurmaktır." [vurgu bizim
"Bu güvenlik açıkları Exchange Server'ı etkiler. Exchange çevrimiçi müşterileri zaten bu SUS'ta ele alınan güvenlik açıklarından korunmuştur ve çevrelerindeki herhangi bir Exchange sunucusunu güncellemek dışında herhangi bir işlem yapması gerekmez."
Saldırıları ilk tespit eden ve bildiren Vietnam siber güvenlik kıyafeti GTSC'deki güvenlik araştırmacıları, saldırganların tehlikeye atılan sunuculara Çin kıyıcı web mermileri dağıtmak için iki güvenlik kusurunu zincirlediğini söyledi.
Proxynotshell Exchange Zero Day için Microsoft Güncellemeleri
Github'da Satılık Sahte Microsoft Exchange Proxynotshell istismarları
Microsoft Exchange Server Zero-Day Hexation Bypassed
Kritik VMware RCE Güvenlik Açığı için Serbest Yayım, Şimdi Yama
Yeni Microsoft Exchange Zero-Days aktif olarak saldırılarda sömürüldü
Kaynak: Bleeping Computer