RSS Zero Day Initiative - Блог
Подписаться
Использование PowerShell Exchange после ProxyNotShell: Часть 1 - Многоценное свойство
Статья обсуждает речь автора на конференции OffensiveCon 2024, уделяя особое внимание классу MultiValuedProperty и его роли в эксплуатации удаленного доступа PowerShell в Microsoft Exchange. Автор объясняет, как MultiValuedProperty может быть злоупотреблен для вызова метода Parse, что приводит к десериализации XAML и потенциальному удаленному выполнению кода. Кроме того, автор предлагает обход первого патча Microsoft для этой уязвимости, комбинируя MultiValuedProperty с классом Command. Этот обход позволяет атакующему выполнять произвольные команды на сервере Exchange. В статье подчеркивается важность тщательного просмотра списков разрешений и проверки наследования классов, чтобы предотвратить такие уязвимости.