Picus Security selittää ProxyNotShell-haavoittuvuudet
Kyberturvallisuusyhtiö Picus Security on julkaissut analyysin ProxyNotShell-haavoittuvuuksista (CVE-2022-41040 ja CVE-2022-41082), jotka kohdistuvat Microsoft Exchange -sähköpostipalvelimiin.
Tietoturvayhtiö Picus Security on julkaissut yksityiskohtaisen analyysin niin sanotuista ProxyNotShell-haavoittuvuuksista. Nämä kaksi Microsoft Exchange -sähköpostipalvelimiin vaikuttavaa tietoturvapoikkeamaa, CVE-2022-41040 ja CVE-2022-41082, mahdollistavat etäkoodin suorittamisen ja ovat olleet hyökkääjien tiedossa jo useita kuukausia.
ProxyNotShell-haavoittuvuudet jäljittelevät aiempia ProxyShell-ongelmia. Ne vaikuttavat jopa Microsoft Exchange -palvelinten uusimpiin versioihin. Ensimmäinen haavoittuvuus, CVE-2022-41040, on palvelinpuolen pyyntöjenväärennös (SSRF). Sen avulla autentikoitu hyökkääjä voi käynnistää toisen haavoittuvuuden, CVE-2022-41082, joka puolestaan mahdollistaa etäkoodin suorittamisen (RCE), jos hyökkääjällä on pääsy PowerShelliin.
Microsoft tiedotti näistä haavoittuvuuksista syyskuussa 2022 ja julkaisi korjauspäivitykset marraskuussa 2022. Picus Security on lisännyt uusia hyökkäyssimulaatioita näille haavoittuvuuksille omaan uhkatietokirjastoonsa, jotta yritykset voivat testata ja parantaa puolustuskykyään.
ProxyShell-haavoittuvuudet, jotka vaikuttivat vanhempiin Exchange-versioihin, ovat edelleen hyökkääjien kohteena. ProxyNotShell-haavoittuvuuksien laajuus ja vaikutus uusimpiin järjestelmiin korostavat jatkuvaa tarvetta tietoturvapäivitysten asentamiselle ja järjestelmien aktiiviselle valvontaan.