Picus Security erläutert ProxyNotShell-Schwachstellen

Das Cybersicherheitsunternehmen Picus Security hat eine detaillierte Analyse der sogenannten ProxyNotShell-Schwachstellen veröffentlicht. Diese beiden Sicherheitslücken, CVE-2022-41040 und CVE-2022-41082, betreffen Microsoft Exchange-E-Mail-Server, ermöglichen die Ausführung von Remote-Code und werden bereits von Angreifern aktiv ausgenutzt.

Die ProxyNotShell-Schwachstellen werden in einer Kette ausgenutzt, ähnlich wie bei den früheren ProxyShell-Problemen. Sie betreffen selbst die neuesten Versionen des Exchange Servers. Die erste Schwachstelle, CVE-2022-41040, ist eine Server-Side Request Forgery (SSRF)-Schwachstelle. Sie ermöglicht es einem authentifizierten Angreifer, die zweite Schwachstelle, CVE-2022-41082, auszulösen, die wiederum die Ausführung von Remote-Code (RCE) ermöglicht, sofern der Angreifer Zugriff auf PowerShell hat.

Microsoft hat diese Schwachstellen im September 2022 offengelegt und im November 2022 Patches veröffentlicht. Picus Security hat neue Angriffssimulationen für diese Schwachstellen in seine Bedrohungsbibliothek aufgenommen, um Unternehmen bei der Prüfung und Verbesserung ihrer Abwehrmaßnahmen zu unterstützen.

Während ProxyShell-Schwachstellen ältere Exchange-Versionen betrafen und weiterhin ausgenutzt werden, verdeutlichen die ProxyNotShell-Lücken die anhaltenden Risiken für aktuelle Systeme. Die aktive Ausnutzung unterstreicht die dringende Notwendigkeit zeitnaher Sicherheitsupdates und kontinuierlicher Überwachung von Exchange-Servern.