Twee kwetsbaarheden in Microsoft Exchange openen de deur voor een ProxyNotShell-aanval. Hoewel al sinds november een patch beschikbaar is, zijn nog minstens 60.000 servers niet geüpdatet.
Op 30 september stuurde Microsoft waarschuwingen uit voor zerodays in de Exchange-mailserver: CVE-2022-41040 en CVE-2022-41082. Door een slimme combinatie van beide kwetsbaarheden kunnen aanvallers er een ProxyNotShell-aanval mee uitvoeren. CVE-2022-41040 geeft de aanvaller via het Autodiscover-eindpunt toegang tot de backend van Remote Powershell, waarna ze CVE-2022-41082 uitbuiten om remote code uit te voeren.
De kwetsbaarheden werden ook zeer actief misbruikt, gaf Microsoft snel toe. Microsoft rolde in november vervolgens een noodpatch uit voor Exchange die beide lekken dicht. Daarmee was de kous helaas nog lang niet af. Volgens actuele gegevens van de Shadowserver Foundation lopen 61.483 Exchange-servers nog het acute risico op ProxyNotShell-aanvallen omdat ze nog niet gepatcht.
Meer dan de helft van de kwetsbare servers (31.831) bevindt zich in Europa. Op de piek van de ProxyNotShell-curve liepen bijna 85.000 servers reëel gevaar. We zijn wat dat betreft wel op de goede weg.
Patchen is enige remedie
Om de kwetsbaarheden definitief te verhelpen, is het uitvoeren van alle beschikbare updates de enige remedie. Microsoft publiceerde aanvankelijk wel een workaround die het herschrijven van URL’s omvatte, maar deze is inmiddels achterhaald en kan via de webmailservice Outlook Web Access vrij eenvoudig omzeild worden.
ProxyNotShell lijkt niet enkel qua naam, maar ook qua methode erg op ProxyShell, een Exchange-kwetsbaarheid die voornamelijk in 2021 veel brokken maakte. Toch blijven tot vandaag de dag duizenden organisaties in de gevarenzone voor ProxyShell. Via de zoekmachine Shodan kan je opzoeken hoeveel Exchange-servers blootgesteld zijn. De teller staat al op 186 duizend (en één).
Play
Een ransomwaregroep die erom bekend staat graag gebruik te maken van ProxyNotShell en andere Exchange-kwetsbaarheden, is Play. Die naam doet je misschien wel een belletje rinkelen, want de groepering zat ook achter de cyberaanval op de stad Antwerpen. Langs welke deur de hackers exact zijn binnengeraakt, is geheim gehouden.