Deze liveblog bevat informatie over de ProxyNotShell kwetsbaarheid. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 27 december 2022.
Update 27 december 2022
14:00 | Op 20 december 2022 heeft beveiligingsbedrijf CrowdStrike een blog gepubliceerd over de ProxyNotShell-kwetsbaarheid. Microsoft heeft in november 2022 security updates uitgebracht. Voordat de security updates werden uitgebracht, werden verschillende URL rewrite rules als workaround geadviseerd. CrowdStrike beschrijft nu een waarneming van het omzeilen van de nieuwste versie van de URL rewrite rules, waardoor een kwaadwillende de kwetsbaarheden CVE-2022-41080 en CVE-2022-41082 kan misbruiken.
Microsoft heeft security updates beschikbaar gesteld voor CVE-2022-41040, CVE-2022-41080 en CVE-2022-41082. Nu bekend is dat de workarounds kunnen worden omzeild, is het sterk aan te raden om de security updates te installeren. De security updates zijn beschikbaar voor:
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
Zodra de security updates zijn toegepast kunnen de tijdelijke, mitigerende maatregelen worden verwijderd.
Meer informatie kan hier worden gevonden:
- Crowdstrike blog – https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/
- Microsoft security blog – https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
- Microsoft Exchange SSU 11-2022 – https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2022-exchange-server-security-updates/ba-p/3669045
Update 10 november 2022
15:30 | Op 8 november 2022 heeft Microsoft security updates gepubliceerd voor CVE-2022-41040 en CVE-2022-41082, ook wel bekend als ProxyNotShell. Het is sterk aan te raden om de security updates te installeren, ook wanneer de tijdelijke mitigerende maatregelen zijn toegepast die in de initiële blog zijn beschreven. De security updates zijn beschikbaar voor:
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
De tijdelijke mitigerende maatregelen kunnen worden verwijderd, maar alleen nadat de security updates zijn toegepast.
Meer informatie kan hier worden gevonden:
Update 10 oktober 2022
14:00 | Sinds onze laatst post van afgelopen vrijdag, heeft Microsoft een aantal updates gepubliceerd op de initiële blog met betrekking tot ProxyNotShell. De blog, inclusief updates, kan hier worden gevonden: https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
Wederom heeft Microsoft een aantal belangrijke aanpassingen gedaan aan de mitigatiestappen voor CVE-2022-41040. Het pattern dat werd beschreven voor de URL rewrite rule is verbeterd, nadat bleek dat het initiële pattern niet afdoende was en omzeild kon worden.
Het advies is om op basis van de blog van Microsoft de bestaande mitigaties bij te werken.
Update 05 oktober 2022
12:00 | Microsoft heeft de initiële blog met betrekking tot ProxyNotShell bijgewerkt. De blog kan hier worden gevonden: https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
Microsoft heeft in de blog een belangrijke aanpassing gedaan aan de mitigatiestappen voor CVE-2022-41040. Het pattern dat werd beschreven voor de URL rewrite rule is verbeterd, nadat bleek dat het initiële pattern niet afdoende was en omzeild kon worden.
Het advies is om op basis van de blog van Microsoft de bestaande mitigaties bij te werken.
Update 03 oktober 2022
14:00 | We hebben onze blog over ProxyNotShell bijgewerkt met de laatste informatie. Microsoft heeft een tweede blog gepubliceerd met aanvullende informatie. De blog kan hier worden gevonden.
De ProxyNotShell kwetsbaarheid is vergelijkbaar met ProxyShell, maar ProxyNotShell vereist authenticatie. ProxyNotShell bestaat uit twee geregistreerde kwetsbaarheden (CVE-nummers):
- CVE-2022-41040 – een Server-Side Request Forgery (SSRF) kwetsbaarheid
- CVE-2022-41082 – een remote code execution kwetsbaarheid
CVE-2022-41040 maakt het mogelijk om CVE-2022-41082 uit te voeren, wat leidt tot authenticated remote code execution. Voor beide kwetsbaarheden is authenticatie vereist, echter is een account met de rechten van een standaard gebruiker (of hoger) voldoende. Inloggegevens van gebruikers kunnen op verschillende manieren worden verkregen, bijvoorbeeld via een password spray, phishing, of gekocht via het cybercriminele circuit.
Microsoft Exchange Online is niet kwetsbaar en vereist geen mitigerende maatregelen. De volgende versies van on-premise Microsoft Exchange Server zijn kwetsbaar en vereisen mitigeren maatregelen:
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
Mitigatie
Momenteel is er geen software patch beschikbaar. Het is sterk aan te raden om de URL Rewrite instructies toe te passen zoals beschreven in de eerste blog van Microsoft. Deze stappen mitigeren de SSRF-kwetsbaarheid CVE-2022-41040.
Microsoft heeft ook een script gepubliceerd om deze mitigerende maatregelen toe te passen: https://microsoft.github.io/CSS-Exchange/Security/EOMTv2/
Om CVE-2022-41082 te mitigeren, worden gebruikers van on-premise Microsoft Exchange Servers aangeraden om remote Powershell toegang voor niet beheerderaccounts uit te schakelen. Het volgende artikel van Microsoft beschrijft de benodigde stappen.
Update 30 september 2022
14:00 | Op 28 september 2022 heeft Vietnamees IT-beveiligingsbedrijf GTSC een blog gepubliceerd waarin zij een tweetal zero-day kwetsbaarheden beschrijven in on-premise Microsoft Exchange servers. De kwetsbaarheden zijn ProxyNotShell genoemd, door de grote gelijkenissen met de ProxyShell kwetsbaarheden uit augustus 2021.
Momenteel is er nog weinig informatie beschikbaar met betrekking tot de kwetsbaarheden, de impact en mitigerende maatregelen. Deze blog wordt bijgewerkt wanneer meer informatie beschikbaar komt.
Aanleiding en achtergrond van deze blog
Deze blog bevat informatie over kwetsbaarheden, het mogelijke risico en advies om schade te voorkomen of beperken. Onderstaand staan de mogelijke risico’s, details en achtergrondinformatie.
Kwetsbaarheid informatie
Op 28 september 2022 heeft Vietnamees IT beveiligingsbedrijf GTSC een blog gepubliceerd waarin zij een tweetal zero-day kwetsbaarheden beschrijven in on-premise Microsoft Exchange servers. De kwetsbaarheden zijn ProxyNotShell genoemd, door de grote gelijkenissen met de ProxyShell kwetsbaarheden uit augustus 2021.
Momenteel is er nog weinig informatie beschikbaar met betrekking tot de kwetsbaarheden, de impact en mitigerende maatregelen. Deze blog wordt bijgewerkt wanneer meer informatie beschikbaar komt.
Mogelijke risico’s
De benoemde kwetsbaarheden kunnen een aanvaller zogenaamde remote code execution mogelijkheden geven op on-premise Microsoft Exchange servers. Een aanvaller heeft geldige logingegevens nodig om de kwetsbaarheden uit te kunnen buiten.
De kwetsbaarheden worden reeds uitgebuit.
Detail informatie
Het Vietnamees IT beveiligingsbedrijf GTSC claimt twee nog onbekende kwetsbaarheden in Microsoft Exchange server te hebben gevonden. GTSC kwam de kwetsbaarheden op het spoor tijdens het onderzoeken van een IT-beveiligingsincident. Deze zogenaamde zero-day kwetsbaarheden zijn inmiddels bevestigd door Microsoft en geregistreerd onder de volgende CVE-nummers:
- CVE-2022-41040 – een Server-Side Request Forgery (SSRF) vulnerability
- CVE-2022-41082 – een remote code execution vulnerability
Er zijn momenteel nog geen software patches beschikbaar. Het advies is om de ontwikkelingen in de gaten te houden en software updates zo snel mogelijk te installeren wanneer deze beschikbaar komen.
Microsoft geeft aan dat Exchange Online niet kwetsbaar is en er geen mitigerende maatregelen nodig zijn. Bij onderstaande on-premise Exchange versies zijn mitigerende maatregelen nodig omdat ze kwetsbaar zijn:
- Microsoft Exchange 2013
- Microsoft Exchange 2016
- Microsoft Exchange 2019
GTSC en Microsoft beschrijven beide een aantal mitigerende maatregelen. Het advies is om de instructies te volgen uit de blog van Microsoft.
Bronnen
Meer informatie:
- Initiële publicatie van GTSC – https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html (WayBackMachine)
- Zero Day Initiative (ZDI) Security Alert – https://success.trendmicro.com/dcx/s/solution/000291651?language=en_US
- Microsoft blog 1 – https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
- Microsoft blog 2 – https://www.microsoft.com/security/blog/2022/09/30/analyzing-attacks-using-the-exchange-vulnerabilities-cve-2022-41040-and-cve-2022-41082/
- Exchange On-premises Mitigation Tool v2 – https://microsoft.github.io/CSS-Exchange/Security/EOMTv2/
- Techcommunity Microsoft – https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2022-exchange-server-security-updates/ba-p/3669045
- Crowdstrike blog – https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/
Aanmelden
Wilt u tijdig geïnformeerd worden? Schrijf u dan in voor onze technische updates
Wilt u de kritieke kwetsbaarheden voortaan ook per e-mail ontvangen? Abonneer u dan op de nieuwbrief.
Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.
