Статья Опубликован эксплоит для уязвимостейо ProxyNotShell 0011

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.104
Репутация
11.695
Реакции
61.894
RUB
50
Эксперты предупредили, что в открытом доступе появился эксплоит для двух нашумевших уязвимостей в Microsoft Exchange, которые носят общее название ProxyNotShell.


Уязвимости использовались хакерами и ранее, но теперь атак может стать больше.

Исходно проблемы ProxyNotShell ( и ) в сентябре аналитики из вьетнамской компании GTSC. Напомню, что баги затрагивали Microsoft Exchange Server 2013, 2016 и 2019 и позволяли злоумышленникам повысить привилегии для запуска PowerShell в контексте системы, а также добиться удаленного выполнения кода на скомпрометированном сервере.

Как вскоре подтвердили в Microsoft, эти проблемы были взяты на вооружение хакерами. Специалисты писали, кто как минимум одна группировка использовала баги против примерно 10 компаний по всему миру.



Интерес к ProxyNotShell оказался так велик, что эксперты держали практически все технические детали уязвимостей в тайне (чтобы еще большее число злоумышленников не занялось их эксплуатацией). Однако этой ситуацией не преминули воспользоваться мошенники, которые начали продавать в сети для ProxyNotShell.

Теперь, когда уязвимости наконец исправили (с релизом ), ИБ-исследователь, известный под ником Janggggg, опубликовал в открытом доступе , который злоумышленники использовали для атак на серверы Exchange.

Подлинность и работоспособность этого эксплоита уже подтвердил известный ИБ-специалист и аналитик компании ANALYGENCE . Он сообщил, что эксплоит работает против систем под управлением Exchange Server 2016 и 2019, но перед атаками на Exchange Server 2013 код нуждается в некоторой доработке.



Согласно статистике исследователей из компании Greynoise, которые отслеживают использование ProxyNotShell с конца сентября, уязвимости по-прежнему подвергаются атакам, а после публикации эксплоита их может стать больше.



Напомню, что злоумышленники используют баги для развертывания веб-шеллов China Chopper на скомпрометированных серверах, чтобы закрепиться в системе, похитить данные, а также организовать боковое перемещение в сетях жертв.


 
Сверху Снизу