Использование PowerShell Excha... Заметка
RSS Zero Day Initiative - Блог

Использование PowerShell Exchange после ProxyNotShell: Часть 2 - Сборник одобренных приложений

В сервере Exchange Server CVE-2023-36756 позволяет аутентифицированным атакующим удаленно выполнять код, десериализуя зловредный объект ApprovedApplicationCollection.Конструктор ApprovedApplicationCollection позволяет атакующему указать UNC-путь к файлу CAB, который затем извлекается с помощью утилиты extrac32.exe.Extrac32.exe содержит неисправленный уязвимый путь (ZDI-CAN-21499), позволяющий атакующим извлекать файлы в произвольные места.Соединяя эти уязвимости, атакующие могут извлекать зловредный файл CAB, содержащий веб-шелл ASPX, в определенное место на сервере Exchange.Microsoft отказался исправлять уязвимость пути в extrac32.exe, заявив, что это ответственность вызывающей стороны обеспечивать безопасное использование.Пейлоад состоит из файла CAB с веб-шеллом по имени ../../../../../../../../inetpub/wwwroot/poc.aspx.Атака требует размещения файла CAB на SMB-ресурсе в домене.Используя уязвимости, атакующие могут получить доступ к веб-шеллу и удаленно выполнять код.Доступен демо, демонстрирующий весь процесс эксплуатации.Следующий пост в блоге будет посвящен CVE-2023-36745, сложной уязвимости RCE, требующей изощренной цепочки эксплуатации.