Microsoft atualiza as orientações para bugs do ‘ProxyNotShell’

Microsoft atualiza as orientações para bugs do ‘ProxyNotShell’ depois que os pesquisadores contornam as mitigações.

A Microsoft atualizou a orientação fornecida para duas vulnerabilidades de dia zero descobertas na semana passada que afetam o software Exchange Server.

A orientação original fornecida para os bugs, que são conhecidos coloquialmente como “ProxyNotShell”, foi considerada insuficiente para resolver os problemas, de acordo com vários pesquisadores de segurança que passaram o fim de semana examinando-os. 

Dray Agha, líder da equipe de analistas de operações de ameaças sênior da empresa de segurança cibernética Huntress, explicou que as mitigações originais fornecidas pela Microsoft eram “infelizmente fáceis de subverter maliciosamente”. 

Aqueles que aplicaram as mitigações originais ainda estavam vulneráveis ​​devido a esse desvio de mitigação”, disse ele. Na terça-feira, a Microsoft “atualizou novamente o script que automatizará as mitigações, com esse desvio em mente”.

Infelizmente, provavelmente veremos isso se tornar um jogo de gato e rato, já que adversários e pesquisadores de segurança encontram novas maneiras de contornar as mitigações da Microsoft.”

Na semana passada, a Microsoft confirmou que estava investigando os problemas após um relatório da empresa vietnamita de segurança cibernética GTSC de que as vulnerabilidades estão sendo exploradas à solta. A GTSC relatou o problema à Zero Day Initiative da Trend Micro, que confirmou os bugs.

A Microsoft disse que observou ataques usando os bugs “em menos de 10 organizações globalmente”. 

A MSTIC avalia com confiança média que o único grupo de atividade provavelmente será uma organização patrocinada pelo estado”, explicou a equipe de segurança da empresa. 

Uma é o que é conhecido como vulnerabilidade de falsificação de solicitação do lado do servidor, designada como CVE-2022-41040, que pode permitir que um invasor com credenciais de uma conta de usuário no servidor de email obtenha níveis de acesso não autorizados. A segunda vulnerabilidade, identificada como CVE-2022-41082, permite a execução remota de código semelhante aos problemas do ProxyShell de 2021 que causaram o caos para muitas empresas. A GTSC disse que ainda não estava confortável em divulgar os detalhes técnicos das vulnerabilidades. 

As vulnerabilidades de execução remota de código são consideradas especialmente perigosas porque dão aos invasores o poder de fazer alterações nos sistemas das vítimas. Os serviços de e-mail também são essenciais para muitas operações do dia-a-dia e podem conter informações confidenciais, tornando-os alvos atraentes para invasores. 

A Agência de Segurança Cibernética e Infraestrutura (CISA) adicionou os dois bugs à sua lista de vulnerabilidades exploradas conhecidas horas depois de serem descobertas, enquanto a Microsoft confirmou na quinta-feira que os problemas estão sendo explorados e afetam aqueles que executam o Microsoft Exchange Server 2013, 2016 e 2019 na premissa.

O pesquisador sênior de segurança da Huntress, John Hammond, confirmou que a orientação original de mitigação da Microsoft poderia ser facilmente contornada, mas observou que a Microsoft forneceu ferramentas automatizadas atualizadas que fornecem a melhor proteção enquanto um patch oficial está em andamento. 

Chester Wisniewski, principal cientista de pesquisa da Sophos, disse que há um “número extremamente pequeno de vítimas conhecidas por terem sido alvo dessa vulnerabilidade, o que está nos dando um pouco de tempo para implementar mitigações e se preparar para correções quando a Microsoft puder fornecê-los”. 

Ainda estamos todos esperando por um patch oficial”, disse Wisniewski. “As equipes de TI devem estar prontas para aplicar o patch oficial o mais rápido possível quando for publicado, pois esperamos que os invasores façam engenharia reversa da correção para determinar como explorar essa falha em pouco tempo após a disponibilização.” 

Claire Tills, da Tenable, explicou que os bugs parecem ser variantes do ProxyShell – uma cadeia de vulnerabilidades divulgada no final de 2021.

A principal diferença, de acordo com Tills, é que ambas as vulnerabilidades mais recentes exigem autenticação onde o ProxyShell não exigia. 

O ProxyShell, acrescentou ela, “foi e continua sendo uma das cadeias de ataque mais exploradas lançadas em 2021”. 

Interesse do cibercriminoso

Ambas as vulnerabilidades estão sendo destacadas em fóruns cibercriminosos, de acordo com pesquisadores da empresa de segurança cibernética Flashpoint. 

Vários pesquisadores disseram que viram explorações falsas para o bug sendo vendidas no GitHub , e pesquisadores do Flashpoint disseram ao The Record que viram uma exploração sendo vendida por US$ 250.000 no fórum de hackers e malware em russo Exploit. Eles não conseguiram verificar se a exploração era real ou outra falsa. 

A Flashpoint, como vários outros especialistas, também discordou da insistência da Microsoft de que os clientes do Microsoft Exchange Online não precisam tomar nenhuma ação. Os pesquisadores do Flashpoint disseram que isso poderia levar os clientes a uma falsa sensação de segurança, por meio da qual o cliente migrou para o Exchange Online, mas também manteve um servidor híbrido no local.

Neste caso, ainda seria responsabilidade do cliente mitigar o servidor híbrido”, disseram eles. 

De acordo com a própria orientação da Microsoft sobre atualizações do Exchange Server em geral: ‘Mesmo se você estiver usando apenas o Exchange Server localmente para gerenciar objetos relacionados ao Exchange, você precisa manter o servidor atualizado.‘”

Segundo o The Record, a Microsoft não respondeu aos pedidos de comentários, apenas apontando o registro para o documento de mitigação original. 

Infelizmente, vários pesquisadores já encontraram maneiras de contornar as mitigações atualizadas que a Microsoft lançou recentemente.

Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, observou que a recomendação atualizada mostra as armadilhas de criar mitigações projetadas em torno de uma ameaça específica sem necessariamente levar em consideração outros ataques que poderiam contornar a solução temporária específica.

Esperamos que a Microsoft lance em breve um patch que abordará os vários servidores locais do Exchange que são potencialmente vulneráveis”, disse ele. 

Fonte: The Record

Veja também:

Sobre mindsecblog 1871 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!