CrowdStrike Services va investigar recentment diverses intrusions de ransomware Play en les quals se sospitava que el vector d’entrada comú eren les vulnerabilitats de Microsoft Exchange ProxyNotShell CVE-2022-41040 i CVE-2022-41082. En cada cas, CrowdStrike va revisar els registres pertinents i va determinar que no hi havia proves d’explotació de CVE-2022-41040 per a l’accés inicial. En el seu lloc, semblava que les sol·licituds corresponents es realitzaven directament a través de l’endpoint de l’aplicació web d’Outlook (OWA), la qual cosa indicava un mètode d’explotació no revelat prèviament per Exchange.

Un servidor Microsoft Exchange consta de dos components principals: el frontend, també conegut com Client Access Service, i el backend. El frontend s’encarrega de gestionar totes les connexions dels clients i d’enviar qualsevol sol·licitud al servei backend adequat. Els serveis de backend s’encarreguen de gestionar les sol·licituds específiques realitzades al frontend, com les URL’s, també conegudes com endpoints.

En el cas d’una cadena de exploits ProxyNotShell tradicional, la seqüència d’atac es realitza en dos passos:

En primer lloc, s’accedeix al següent endpoint:

Autodiscover

Aquest és utilitzat per informar als clients sobre els serveis oferts pel servidor Microsoft Exchange remot, mitjançant una petició autenticada al frontend. S’accedeix emprant un exploit de confusió de ruta, CVE-2022-41040, que permet a l’atacant arribar al backend per URL’s arbitràries. Aquest tipus de vulnerabilitat es coneix com a falsificació de petició del costat del servidor (SSRF). En el cas de ProxyNotShell, el servei backend objectiu és el servei remot PowerShell.

Una petició web típica al frontend per a explotar la vulnerabilitat SSRF en CVE-2022-41040 implica alguna variació de confusió de ruta que fa referència a l’endpoint

Autodiscover

Una vegada que es pot accedir al servei remot PowerShell, el segon pas consisteix a explotar la vulnerabilitat CVE-2022-41082 per executar ordres arbitràries. Una entrada de registre típica que mostra l’accés al backend de PowerShell es detalla en els registres HTTP de PowerShell Remot, situats a:

C:\Program Files\Microsoft\Exchange Server\V15\Logging\CmdletInfra\Powershell-Proxy\Http\

Per tal d’evitar l’explotació de ProxyNotShell en servidors Microsoft Exchange antics, Microsoft va publicar un blog en el qual compartia una regla de reescriptura personalitzada dins del servidor Microsoft IIS que suporta Exchange.