Exchange PowerShell を ProxyNotShell の後で悪用する:第 2 部 - 承認されたアプリケーションコレクション
Exchange Server では、CVE-2023-36756 によって、認証された攻撃者が、悪意のある ApprovedApplicationCollection オブジェクトをデシリアライズすることで、リモートでコードを実行することができます。ApprovedApplicationCollection コンストラクターでは、攻撃者が CAB ファイルの UNC パスを指定することができます。この CAB ファイルは、extrac32.exe ユーティリティを使用して抽出されます。extrac32.exe には、パス トラバーサル 脆弱性 (ZDI-CAN-21499) があり、攻撃者がファイルを任意の場所に抽出することができます。これらの脆弱性を組み合わせることで、攻撃者は、悪意のある CAB ファイルを Exchange サーバー上の特定の場所に抽出することができます。この CAB ファイルには、web shell としての ASPX ファイルが含まれています。攻撃には、ドメイン内の SMB 共有上で CAB ファイルをホストすることが必要です。脆弱性を悪用することで、攻撃者は web shell にアクセスし、リモートでコードを実行することができます。この攻撃の全プロセスを示すデモもあります。シリーズの次のブログ投稿では、CVE-2023-36745 という複雑な RCE 脆弱性について説明します。この脆弱性は、複雑な攻撃チェーンが必要です。