Uma das duas falhas de segurança visadas pelas explorações do ProxyNotShell, a vulnerabilidade CVE-2022-41082 RCE, não foi corrigida em mais de 60.000 servidores Microsoft Exchange e, como resultado, eles estão expostos online.
Outra falha que está em questão foi rastreada como CVE-2022-41080. Uma série de ataques direcionados foram empregados por agentes de ameaças para explorar as vulnerabilidades de dia zero do ProxyNotShell divulgadas pela primeira vez em setembro.
Tem foi relatado que quase 70.000 servidores Microsoft Exchange correm risco de ataques proxyNotShell, de acordo com um tweet recente de pesquisadores de segurança da Shadowserver Foundation.
De acordo com dados recentes, 60.865 servidores Exchange foram detectados como vulneráveis em 2 de janeiro, e esta contagem é um número menor que caiu de 83.946 em meados de dezembro.
Versões vulneráveis do Exchange
Como termo coletivo, ProxyNotShell é a combinação desses dois bugs de segurança. Além disso, verificou-se que essas falhas afetam o Exchange Server: –
O cabeçalho x_owa_version serviu de base para a avaliação dos especialistas. Listadas abaixo estão as versões do Exchange que são vulneráveis a essas falhas (CVE-2022-41080/CVE-2022-41082): –
2019
- 15.2.1118.15 – 15.2.1118.7 <– correspondência estrita de todos 4 números necessários
- 15.20,986,30 – 15.20,986.5 <– correspondência estrita de todos 4 números necessários
- 15.2.922,27 – 15.2.196.0 (qualquer coisa menor ou igual a 15.2.922)
^^^ partida mais solta do primeiro 3 números são obrigatórios
2016
- 15.1.2507.13 – 15.1.2507.6 <– correspondência estrita de todos 4 números necessários
- 15.1.2375,32 – 15.1.2375.7 <– correspondência estrita de todos 4 números necessários
- 15.1.2308.27 – 15.1.225,16 (qualquer coisa menor ou igual a 15.1.2308)
^^^ partida mais solta do primeiro 3 números são obrigatórios
2013
- 15.0.1497,31 – 15.0.1497.2 <– correspondência estrita de todos 4 números necessários
- 15.0.1473.6 – 15.0.516,32 (qualquer coisa menor ou igual a 15.0.1473)
^^^ partida mais solta do primeiro 3 números são obrigatórios
Os invasores podem usar essa vulnerabilidade para aumentar privilégios em servidores comprometidos e também podem executar códigos arbitrários remotamente.
Recomendação
Durante o Patch Tuesday de novembro de 2022, a Microsoft lançou atualizações de segurança que abordavam as falhas para resolvê-las. Durante o mês de setembro, a GreyNoise, uma empresa que fornece inteligência sobre ameaças, monitorou de perto a exploração contínua do ProxyNotShell.
Como precaução de segurança, é recomendável aplicar os patches de segurança ProxyNotShell da Microsoft lançados em novembro. Isso garantirá que seus servidores Exchange permaneçam protegidos contra ataques recebidos.
Um plano de mitigação também foi fornecido pela empresa, mas os invasores podem contornar essas medidas. Resumindo, os únicos servidores protegidos contra comprometimento são aqueles que estão totalmente corrigidos.
