Grave vulnerabilità 0day su Microsoft
Exchange - ProxyNotShell

Con la presente CERT-Yoroi desidera informarla riguardo una grave vulnerabilità 0day su Microsoft Exchange, nota con identificativo CVE-2022-41082 e conosciuta anche con l’alias ProxyNotShell.

Per sfruttare entrambe le vulnerabilità è necessario, per un attaccante remoto, possedere le credenziali di un utente non privilegiato. In questo modo sono possibili due differenti tecniche di attacco di cui la più grave è quella della CVE-2022-41072, che comporta l’esecuzione di comandi arbitrari da remoto.

La falla più grave è stata scoperta da ricercatori di terze parti, i quali hanno rilevato i primi attacchi in modalità 0day con tecniche analoghe alla precedente vulnerabilità ProxyShell. Durante l’analisi sono stati individuati alcuni artefatti riconducibili a webshell di origine cinese denominate Chopper.

Nelle ultime ore sono stati pubblicati gli identificativi CVE di entrambe le vulnerabilità in un blog post di Microsoft, il quale ha inoltre confermato la prossima pubblicazione di bollettini di sicurezza e relative patch correttive.

A questo proposito, Yoroi suggerisce di verificare l’esposizione su internet dei propri server Exchange, di controllare l’eventuale diffusione di account trapelati su database pubblici, di revisionare periodicamente accessi anomali.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index.