Microsoft telah merilis pembaruan keamanan untuk mengatasi dua kerentanan tingkat tinggi Microsoft Exchange zero-day yang secara kolektif dikenal sebagai ProxyNotShell dan dieksploitasi secara liar.
Penyerang telah merantai dua kelemahan keamanan untuk menyebarkan cangkang web Chopper China di server yang disusupi untuk kegigihan dan pencurian data, serta untuk gerakan lateral di jaringan korban mereka. setidaknya sejak September 2022.
Microsoft dikonfirmasi mereka secara aktif disalahgunakan dalam serangan pada 30 September, dengan mengatakan “sadar akan serangan terbatas yang ditargetkan menggunakan dua kerentanan untuk masuk ke sistem pengguna.”
“Microsoft juga memantau deteksi yang sudah diterapkan ini untuk aktivitas jahat dan akan mengambil tindakan respons yang diperlukan untuk melindungi pelanggan. Kami sedang mengerjakan timeline yang dipercepat untuk merilis perbaikan,” tambah perusahaan itu.
Perusahaan kemudian merilis langkah-langkah mitigasi untuk memungkinkan para pembela HAM memblokir serangan ProxyNotShell yang masuk tetapi harus perbarui panduan dua kali setelah peneliti menunjukkan bahwa penyerang masih bisa melewati mereka.
Ada laporan yang muncul bahwa hari nol baru ada di Microsoft Exchange, dan sedang dieksploitasi secara aktif di alam liar
Saya dapat mengonfirmasi sejumlah besar server Exchange telah di-backdoor – termasuk honeypot.
Utas untuk melacak masalah berikut:
— Kevin Beaumont (@GossiTheDog) 29 September 2022
Admin diperingatkan untuk patch
Hari ini, sebagai bagian dari Patch Selasa November 2022, Microsoft akhirnya merilis pembaruan keamanan untuk mengatasi dua kerentanan tersebut.
“Karena kami menyadari eksploitasi aktif dari kerentanan terkait (serangan bertarget terbatas), rekomendasi kami adalah menginstal pembaruan ini segera untuk dilindungi dari serangan ini,” Tim Exchange diperingatkan.
“Kerentanan ini mempengaruhi Exchange Server. Pelanggan Exchange Online sudah dilindungi dari kerentanan yang dibahas di SU ini dan tidak perlu melakukan tindakan apa pun selain memperbarui server Exchange di lingkungan mereka.”
Dilacak sebagai CVE-2022-41082 dan CVE-2022-41040dua bug keamanan memengaruhi Microsoft Exchange Server 2013, 2016, dan 2019.
Mereka memungkinkan penyerang untuk meningkatkan hak istimewa untuk menjalankan PowerShell dalam konteks sistem dan mendapatkan eksekusi kode arbitrer atau jarak jauh.
“Penyerang untuk kerentanan ini dapat menargetkan akun server dalam eksekusi kode arbitrer atau jarak jauh,” tambah Microsoft dalam penasehat CVE-2022-41082.
“Sebagai pengguna yang diautentikasi, penyerang dapat mencoba memicu kode berbahaya dalam konteks akun server melalui panggilan jaringan.”
Kelemahan keamanan ProxyNotShell hanya dapat dieksploitasi dari jarak jauh oleh aktor ancaman yang diautentikasi, namun, dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna.
