Technisch advies: Proxy*Hell-exploitketen in het wild

- ProxyShell exploit chainMicrosoft Exchange is een ideaal doelwit voor deze exploit chains om een paar verschillende redenen:Er is een complex netwerk van frontend en backend services, met legacy code om achterwaartse compatibiliteit te bieden (many to many relaties)Backend services vertrouwen op de verzoeken van de front-end CAS laag - in het geval van een SSRF aanval wordt een geldig Kerberos token gegenereerd door CASMultiple backend services die draaien als Exchange Server zelf (SYSTEM account)Remote PowerShell (RPS) bevat honderden PowerShell cmdletsIn een relatief korte tijd zijn meerdere combinaties van kwetsbaarheden ontdekt:ProxyLogon - De initiële exploit chain was een combinatie van CVE-2021-26855 en CVE-2021-27065. Microsoft Exchange is een voorbeeld van een toepassing die gebruik maakt van proxy-diensten om de gevoelige backend af te schermen van het niet-vertrouwde openbare netwerk. 4 - Een voorbeeld SSRF-aanval gericht op proxy service endpointProxy-aanvallen op Microsoft Exchange - Hoe het begon ...De meeste door beveiligingsonderzoekers ontdekte kwetsbaarheden zijn gebaseerd op gebrekkige implementaties - bijvoorbeeld geheugenfouten of code-injecties.