Исправление Microsoft не может исправить недостатки ProxyNotShell RCE

После того, как Microsoft опубликовала руководство по устранению двух недостатков удаленного выполнения кода, обнаруженных на прошлой неделе вьетнамской фирмой по безопасности GTSC, кажется, что меры, предложенные Microsoft, оказались не такими эффективными, как надеялась компания.

На выходных вьетнамский исследователь безопасности Ян предупредил: «Шаблон URL для обнаружения/предотвращения 0day Exchange, представленный в сообщении в блоге MSRC, можно легко обойти», предполагая, что вместо этого может работать следующий шаблон:. *autodiscover\.json. *Powershell. *

Уилл Дорманн, старший аналитик по уязвимостям в консалтинговой фирме Analygence, согласился с этим, отметив, что «@» в рекомендуемых Microsoft «. *autodiscover\.json. *\@. *Powershell. *» блокирует URL-адреса для смягчения последствий CVE-2022. -41040 CVE-2022-41082 кажется излишне точным и, следовательно, недостаточным». Дорман согласился, что альтернативный шаблон Джанга должен работать.

Обновленное руководство Microsoft

Вскоре после этого GTSC обновил сообщение в своем блоге об уязвимостях, написав: «После получения информации от Джанга (@testanull) мы заметили, что регулярное выражение, используемое в правиле перезаписи, можно обойти», соглашаясь с предложенным Джангом исправлением и ссылаясь на видео. демонстрируя проблему.

Вчера Microsoft обновила собственное руководство, чтобы оно соответствовало совету Джанга, но не упомянуло Янга. «В разделе «Смягчение последствий» были внесены важные обновления, улучшающие правило перезаписи URL», — написала компания. Microsoft также призвала пользователей Exchange Server отключить удаленный доступ к PowerShell для пользователей без прав администратора.

Исследователь безопасности Кевин Бомонт, который назвал уязвимости «ProxyNotShell» из-за их сходства с уязвимостями ProxyShell, заметил: «[Они] «улучшили» правило, но используя правило @testanull».

По словам старшего инженера-исследователя Tenable Клэр Тиллс, ключевое различие между ProxyNotShell и ProxyShell заключается в том, что новые недостатки требуют аутентификации, а ProxyShell — нет. «ProxyShell был и остается одной из самых эксплуатируемых цепочек атак, выпущенных в 2021 году», — отметила она.

Затронутые гибридные и локальные развертывания Exchange

В своем блоге Бомонт написал: «Если вы вручную применили это средство защиты, вам необходимо вручную *изменить* указанную выше строку защиты. Если вы запускали EOMTv2, вам нужно заново скачать скрипт и запустить его снова. На веб-сайте EOMTv2 не говорится, что сценарий изменился, поэтому убедитесь, что у ваших администраторов есть правильный сценарий».

Бомонт отдельно отметил, что, хотя Microsoft заявила в своем руководстве, что клиентам Exchange Online не нужно ничего делать, клиентам Exchange Online с гибридными развертываниями, включая как локальные, так и сетевые, нужно действовать.

Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) назвало обе уязвимости известными эксплуатируемыми уязвимостями.

Ознакомьтесь с лучшими инструментами управления исправлениями и управления уязвимостями

Мошенники выходят на GitHub

Мошенники быстро воспользовались громкостью новых недостатков, пытаясь «продать» их на GitHub в обмен на биткойны. В ответ исследователь безопасности Huntress Джон Хаммонд сообщил GitHub о нескольких мошенниках.

Эти мошенничества, кажется, являются растущей тенденцией. Исследователь безопасности Коли отметил: «Это было очень распространено с большими нулевыми днями в течение последнего года или около того. GitHub ничем не помог». Другой исследователь, Расти, добавил: «Последние несколько месяцев это стало популярным. Я помню самый первый, когда чувак приложил усилия, чтобы создать целую фальшивую POC на питоне, которая просто эхом «взламывала» выглядящий текст. Теперь они просто копируют/вставляют из блогов и делают это для всех. не замужем. CVE».