Picus Security explique les vulnérabilités ProxyNotShell

La société de cybersécurité Picus Security a publié une analyse détaillée des vulnérabilités connues sous le nom de ProxyNotShell. Ces deux failles de sécurité, CVE-2022-41040 et CVE-2022-41082, qui touchent les serveurs de messagerie Microsoft Exchange, permettent l'exécution de code à distance et ont été activement exploitées par des attaquants.

Les vulnérabilités ProxyNotShell sont chaînées pour permettre l'exploitation, à l'instar des problèmes ProxyShell antérieurs. Elles affectent même les versions les plus récentes d'Exchange Server. La première vulnérabilité, CVE-2022-41040, est une faille de type Server-Side Request Forgery (SSRF). Elle permet à un attaquant authentifié de déclencher la seconde vulnérabilité, CVE-2022-41082, qui à son tour permet l'exécution de code à distance (RCE) si l'attaquant a accès à PowerShell.

Microsoft a divulgué ces vulnérabilités en septembre 2022 et a publié des correctifs en novembre 2022. Picus Security a ajouté de nouvelles simulations d'attaques pour ces vulnérabilités à sa bibliothèque de menaces afin d'aider les organisations à tester et améliorer leurs défenses.

Alors que les vulnérabilités ProxyShell affectaient les anciennes versions d'Exchange et continuent d'être exploitées, les failles ProxyNotShell soulignent les risques permanents pour les systèmes actuels. Leur exploitation active met en évidence le besoin urgent de mises à jour de sécurité rapides et d'une surveillance continue des serveurs Exchange.