Mais de 60 mil servidores Exchange da Microsoft expostos online ainda precisam ser corrigidos contra uma vulnerabilidade de execução remota de código (RCE) — rastreada como CVE-2022-41082 —, uma das duas falhas de segurança visadas pelas explorações do ProxyNotShell.
De acordo com um tuíte recente de pesquisadores de segurança da Shadowserver Foundation, organização sem fins lucrativos dedicada a melhorar a segurança da internet, quase 70 mil servidores Microsoft Exchange foram considerados vulneráveis a ataques ProxyNotShell. No entanto, novos dados publicados mostram que o número de servidores Exchange vulneráveis diminuiu de 83.946 instâncias em meados de dezembro para 60.865 detectadas em 2 de janeiro.
Esses dois bugs de segurança, rastreados como CVE-2022-41082 e CVE-2022-41040 e conhecidos como ProxyNotShell, afetam o Exchange Server 2013, 2016 e 2019. Se explorados com sucesso, os invasores podem escalar privilégios e obter execução arbitrária ou remota de código em servidores comprometidos.
A Microsoft lançou atualizações de segurança para corrigir as falhas durante o Patch Tuesday de novembro de 2022, embora os ataques ProxyNotShell tenham sido detectados desde ao menos setembro do ano passado.
Veja isso
Microsoft investiga novo zero day no Exchange Server
Power Shell remoto do Exchange deve ser desligado
A empresa de inteligência de ameaças GreyNoise tem rastreado a exploração contínua do ProxyNotShell desde 30 de setembro de 2022 e fornece informações sobre a atividade de varredura do ProxyNotShell e uma lista de endereços IP vinculados aos ataques. Para proteger seus servidores Exchange de ataques, a empresa recomenda aplicar os patches ProxyNotShell lançados pela Microsoft em novembro. Embora a empresa também tenha fornecido medidas de mitigação, elas podem ser contornadas por invasores, o que significa que apenas servidores totalmente corrigidos estão protegidos contra comprometimento.
Os servidores Exchange são alvos valiosos, conforme demonstrado pelo grupo de hackers FIN7, que desenvolveu uma plataforma personalizada de ataque automático conhecida como Checkmarks e projetada para violar servidores Exchange. A plataforma já foi usada para se infiltrar em 8.147 empresas, localizadas principalmente nos Estados Unidos (16,7%), depois de escanear mais de 1,8 milhão de alvos.