Exploiter PowerShell Exchange après ProxyNotShell : Partie 2 - Collection d'applications approuvées
Dans Exchange Server, CVE-2023-36756 permet aux attaquants authentifiés d'exécuter du code à distance en désérialisant un objet ApprovedApplicationCollection malveillant.Le constructeur ApprovedApplicationCollection permet à un attaquant de spécifier un chemin UNC vers un fichier CAB, qui est ensuite extrait à l'aide de l'utilitaire extrac32.exe.Extrac32.exe contient une vulnérabilité de parcours de chemin non corrigée (ZDI-CAN-21499) qui permet aux attaquants d'extraire des fichiers à des emplacements arbitraires.En combinant ces vulnérabilités, les attaquants peuvent extraire un fichier CAB malveillant contenant une coquille web ASPX à un emplacement spécifique sur le serveur Exchange.Microsoft a refusé de corriger la vulnérabilité de parcours de chemin dans extrac32.exe, affirmant qu'il est de la responsabilité de l'appelant d'assurer son utilisation sécurisée.La charge utile se compose d'un fichier CAB avec une coquille web nommée ../../../../../../../../inetpub/wwwroot/poc.aspx.L'attaque nécessite d'héberger le fichier CAB sur une partage SMB dans le domaine.En exploitant ces vulnérabilités, les attaquants peuvent accéder à la coquille web et exécuter du code à distance.Un démo est disponible pour montrer tout le processus d'exploitation.Le prochain article de blog de la série couvrira CVE-2023-36745, une vulnérabilité RCE complexe qui a nécessité une chaîne d'exploits élaborée.