ProxyNotShell – Neraka Proksi Baru?

  • Whatsapp
ProxyNotShell
ProxyNotShell – Neraka Proksi Baru

News.nextcloud.asia –

ProxyNotShell

Dijuluki ProxyNotShell, eksploitasi baru yang digunakan di alam liar memanfaatkan kerentanan Microsoft Server-Side Request Forgery (SSRF) yang baru-baru ini diterbitkan CVE-2022-41040 dan kerentanan kedua, CVE-2022-41082 yang memungkinkan Remote Code Execution (RCE) saat PowerShell tersedia untuk penyerang tak dikenal.

Berdasarkan ProxyShell, risiko penyalahgunaan zero-day baru ini memanfaatkan serangan berantai yang serupa dengan yang digunakan dalam serangan ProxyShell 2021 yang mengeksploitasi kombinasi beberapa kerentanan – CVE-2021-34523, CVE-2021-34473, dan CVE-2021- 31207 – untuk mengizinkan aktor jarak jauh mengeksekusi kode arbitrer.

Terlepas dari potensi keparahan serangan yang menggunakannya, kerentanan ProxyShell masih ada dalam daftar kerentanan teratas yang dieksploitasi secara rutin pada tahun 2021 oleh CISA.

Temui ProxyNotShell

Direkam pada 19 September 2022, CVE-2022-41082 adalah vektor serangan yang menargetkan Server Exchange Microsoft, yang memungkinkan serangan dengan kompleksitas rendah dengan hak istimewa rendah yang diperlukan. Layanan yang terkena dampak, jika rentan, memungkinkan penyerang yang diautentikasi untuk berkompromi dengan server pertukaran yang mendasarinya dengan memanfaatkan PowerShell pertukaran yang ada, yang dapat mengakibatkan kompromi penuh.

Dengan bantuan CVE-2022-41040, kerentanan Microsoft lainnya yang juga tercatat pada 19 September 2022, penyerang dapat memicu CVE-2022-41082 dari jarak jauh untuk mengeksekusi perintah dari jarak jauh.

Meskipun pengguna perlu memiliki hak istimewa untuk mengakses CVE-2022-41040, yang seharusnya membatasi aksesibilitas kerentanan terhadap penyerang, tingkat hak istimewa yang diperlukan rendah.

Pada saat penulisan, Microsoft belum mengeluarkan tambalan tetapi merekomendasikan agar pengguna tambahkan aturan pemblokiran sebagai langkah mitigasi.

Kedua kerentanan tersebut terungkap selama serangan aktif terhadap GTSC, sebuah organisasi Vietnam bernama GTSC, yang memberikan akses penyerang ke beberapa klien mereka. Meskipun tidak ada kerentanan sendiri yang sangat berbahaya, eksploitasi yang menyatukan mereka berpotensi menyebabkan pelanggaran bencana.

Kerentanan yang dirantai dapat memberi penyerang luar kemampuan untuk membaca email langsung dari server organisasi kemampuan untuk menembus organisasi dengan CVE-2022-41040 Eksekusi Kode Jarak Jauh dan menanamkan malware di Exchange Server organisasi dengan CVE-2022-41082.

Meskipun tampaknya penyerang memerlukan beberapa tingkat otentikasi untuk mengaktifkan eksploitasi kerentanan yang dirantai, tingkat otentikasi yang tepat yang diperlukan – dinilai “Rendah” oleh Microsoft – belum diklarifikasi. Namun, tingkat otentikasi rendah yang diperlukan ini harus secara efektif mencegah serangan otomatis besar-besaran yang menargetkan setiap server Exchange di seluruh dunia. Mudah-mudahan ini akan mencegah pengulangan bencana ProxyShell 2021.

Namun, menemukan satu alamat email/kombinasi kata sandi yang valid di server Exchange yang diberikan seharusnya tidak terlalu sulit, dan, karena serangan ini melewati validasi token MFA atau FIDO untuk masuk ke Outlook Web Access, satu alamat email/kombinasi kata sandi yang dikompromikan adalah segalanya. yang dibutuhkan.

Mengurangi Eksposur ProxyNotShell

Pada saat penulisan, Microsoft belum mengeluarkan tambalan tetapi merekomendasikan agar pengguna tambahkan aturan pemblokiran sebagai ukuran mitigasi efikasi yang tidak diketahui.

Memblokir lalu lintas masuk ke Exchange Server yang memegang pernyataan penting juga merupakan opsi, meskipun hanya dapat dilakukan jika tindakan tersebut tidak memengaruhi operasi vital dan idealnya dianggap sebagai tindakan sementara sambil menunggu penerbitan patch terverifikasi Microsoft.

Menilai Eksposur ProxyNotShell

Karena opsi mitigasi saat ini memiliki kemanjuran yang belum diverifikasi atau berpotensi merusak kelancaran operasi, mengevaluasi tingkat keterpaparan ke ProxyNotShell dapat mencegah pengambilan tindakan pencegahan yang tidak perlu yang berpotensi mengganggu, atau menunjukkan aset mana yang akan dimigrasikan terlebih dahulu ke server yang tidak terpapar.

Cymulate Research Lab telah mengembangkan penilaian yang dibuat khusus untuk ProxyNotShell yang memungkinkan organisasi memperkirakan secara tepat tingkat keterpaparan mereka terhadap ProxyNotShell.

Vektor serangan ProxyNotShell telah ditambahkan ke template skenario lanjutan, dan menjalankannya di lingkungan Anda menghasilkan informasi yang diperlukan untuk memvalidasi eksposur – atau kekurangannya – ke ProxyNotShell.

ProxyNotShell
ProxyNotShell

Sampai patch terverifikasi tersedia dari Microsoft, menilai eksposur ke ProxyNotShell untuk mengevaluasi dengan tepat server mana yang merupakan target potensial adalah cara paling hemat biaya untuk mengevaluasi secara tepat aset mana yang terpapar dan merancang tindakan pencegahan yang ditargetkan dengan dampak maksimum.

Oleh Cymulate Research Labs

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *