По словам корпорации Microsoft , в августе 2022 года неизвестная группировка получила первоначальный доступ и взломала серверы Microsoft Exchange, использовав 2 уязвимости нулевого дня в своих атаках на 10 организаций по всему миру.
Хакеры устанавливали веб-оболочку Chopper для облегчения прямого доступа к клавиатуре, которую они использовали для разведки Active Directory и эксфильтрации данных. Microsoft приписала атаки спонсируемой государством группе и добавила, что она уже расследовала эти атаки в начале сентября в рамках программы Zero Day Initiative.
По словам исследователя кибербезопасности Кевина Бомонта, эти 2 уязвимости получили общее название ProxyNotShell из-за схожести формата с ProxyShell, но для эксплуатации ProxyNotShell нужна аутентификация, поэтому их невозможно исправить полностью. Проблемы перечислены ниже:
CVE-2022-41040 (CVSS: 8,8) — уязвимость Microsoft Exchange Server, связанная с несанкционированным получением прав.
CVE-2022-41082 (CVSS: 8,8) — уязвимость Microsoft Exchange Server, связанная с удаленным выполнением кода.
Для использования этих недостатков достаточно выполнить аутентификацию как обычный пользователь. Стандартные учетные данные пользователя могут быть получены с помощью атаки
Источник: SecurityLab