Da Microsoft stessa, oltre che dalle segnalazioni di Zero Day Initiative (ZDI) di Trend Micro, arriva la conferma dell’avvistamento in natura di una variante di ProxyShell (rilevata nel 2021), una pericolosa minaccia per Microsoft Exchange Server. 

Già nella precedente variante si trattò di scoprire una vulnerabilità zero-day: anche in questo caso l’identificazione in natura ha riguardato una minaccia di cui si ignorava l’esistenza fino all’evidenza del suo agire dannoso. 

Ancora una volta la minaccia è costituita prevalentemente dall’esecuzione di codice da remoto; come per ProxyShell, anche in questo caso ciò risulta possibile qualora sia disponibile all’attaccante una PowerShell: questo è reso possibile, in sistemi in cui operano istanze di Microsoft Exchange Server 2013, 2016 e 2019, a causa di una catena di vulnerabilità identificate con CVE-2022-41040 e CVE-2022-41082. 

La prima (CVE-2022-41040), valutata con un punteggio CVSS 6.3, è una vulnerabilità di tipo Server-side Request Forgery (SSRF) presente nei server Exchange capace, ad un utente remoto autenticato, di rendere possibile la vulnerabilità successiva. 

Questa (la CVE-2022-41082), valutata conseguentemente con un punteggio CVSS 8.8, è molto simile alla vecchia ProxyShell (anche quella possibile attraverso una catena di vulnerabilità, tre in quella circostanza), ossia consente ad un utente remoto l’esecuzione di codice, benché in questa circostanza, a differenza del 2021, l’utente debba essere autenticato. Una riduzione della probabilità di successo, ma non una esclusione a priori. Diciamo che questo è l’unica caratteristica che riduce complessivamente l’allarme sul fenomeno, riducendo il numero complessivo di attacchi ad un limitato numero di server mirati a cui sia possibile accedere mediante autenticazione. Ma non c’è da stare tranquilli. 

Microsoft sta cercando di accelerare per la messa al sicuro di tali sistemi, alla costruzione di un correttivo da rilasciare al più presto. Ma al momento non c’è traccia. 

Può per ora solo indicare mitigazioni e sorvegliare attivamente la sussistenza di ulteriori indizi di attacchi portati avanti attraverso queste vulnerabilità. 

È del tutto evidente che in questa fase non possono essere rilevati altri dettagli rispetto a queste vulnerabilità: sono state delineate le attività di post-sfruttamento evidenziate durante gli attacchi, ma nulla trapela rispetto alla meccanica di sfruttamento iniziale, nessun PoC (Proof-of-concept) o prototipo è stato dato per descriverne il funzionamento, così come non se ne trovano pubblicamente. Questo al momento circoscrive le capacità offensive rispetto a questa strategia di attacco ai soli agenti di minaccia già in possesso di tali conoscenze, limitando la minaccia al solo (si fa per dire) insieme di obiettivi strategici già identificati dagli attori, evitando così l’allargamento della minaccia ad altri soggetti.

Tweet