Уязвимости получили идентификаторы CVE-2022-41082 и CVE-2022-41040. В ходе эксплуатации атакующий имеет шанс повысить привилегии и запустить PowerShell-скрипт на уровне системы. Об этом рассказали в Anti-Malware.ru.
Отмечается, что дыра ProxyNotShell была закрыта с выходом набора патчей Microsoft в ноябре. При этом она использовалась в реальных кибератаках как минимум с сентября текущего гола. Исследователь, работающий под ником Janggggg, выложил код эксплойта proof-of-concept (PoC), к которому мошенники обращались во время взлома серверов Exchange.
PoC был протестирован Уиллом Дорманном из ANALYGENCE, который и подтвердил его актуальность. По его словам, коду необходима доработка, необходимая в использовании для атак на Exchange Server 2013.
Представители Microsoft подтвердили, что киберпреступники используют ProxyNotShell. Благодаря дырам они устанавливали веб-шеллы Chinese Chopper на скомпрометированных серверах.
Ранее сообщалось, что исследователь в области информационной безопасности Абдельхамид Насери обнаружил во всех актуальных версиях Windows опасную ошибку, позволяющую любому пользователю стать администратором системы. Уязвимость затрагивает все Windows 10 и 11, а также Windows Server 2022.