# CVE-2022-41040 > [!high] ProxyNotShell - SSRF no Microsoft Exchange - Passo 1 da Cadeia > Server-Side Request Forgery no Microsoft Exchange Server que inicia a cadeia ProxyNotShell. Requer conta Exchange autenticada, mas combinada com CVE-2022-41082, resulta em execução remota de código com permissões SYSTEM. Explorada pelo ransomware Play no Brasil e LATAM. ## Visão Geral A [[cve-2022-41040|CVE-2022-41040]] é uma vulnerabilidade de **Server-Side Request Forgery (SSRF)** no Microsoft Exchange Server que funciona como o primeiro elo da cadeia de ataque **ProxyNotShell**. A falha permite que um usuário Exchange autenticado (mesmo de baixo privilégio) faça com que o servidor realize requisições HTTP para endpoints internos normalmente inacessíveis externamente. Descoberta em setembro de 2022 como zero-day sendo explorado na natureza, a CVE-2022-41040 recebeu esse nome como referência ao infame **ProxyShell** (CVE-2021-34473), que afetou o Exchange um ano antes. A nova cadeia segue lógica similar de encadeamento de vulnerabilidades para alcançar RCE com permissões elevadas. A combinação [[cve-2022-41040|CVE-2022-41040]] (SSRF) + [[cve-2022-41082|CVE-2022-41082]] (RCE) foi extensamente documentada na campanha do ransomware [[g1040-play|Play]] na América Latina, com organizações brasileiras confirmadas como alvos durante 2023. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Server-Side Request Forgery (SSRF) | | Componente | Exchange Server - URL Routing / Autodiscover | | Vetor | Rede (requer conta Exchange autenticada) | | Complexidade | Baixa | | Cadeia ProxyNotShell | Passo 1 (SSRF) + Passo 2 (RCE via CVE-2022-41082) | ### Cadeia ProxyNotShell Completa ``` Conta Exchange válida (qualquer usuário) ↓ CVE-2022-41040: SSRF via Autodiscover endpoint Acessa PowerShell backend: //localhost:444/powershell ↓ CVE-2022-41082: Injeção de comandos PowerShell Execução como NT AUTHORITY\SYSTEM ↓ Web shell implantado + Ransomware Play ``` O SSRF explora o componente Autodiscover do Exchange, que em determinadas configurações processa URLs de forma que permite redirecionamento para serviços internos do Exchange - incluindo o backend do PowerShell Remoto que normalmente não é exposto externamente. ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploração do Exchange OWA | | [[t1059-001-powershell\|T1059.001]] | PowerShell remoto Exchange pós-SSRF | | [[t1505-003-web-shell\|T1505.003]] | Web shell em `/FrontEnd/HttpProxy/` | | [[t1486-data-encrypted-for-impact\|T1486]] | Ransomware Play deployment final | ## Detecção e Defesa **Mitigações:** - Aplicar Exchange Security Update de novembro de 2022 (KB5019758) - [[m1051-update-software\|M1051]] - Patch urgente para Exchange Server - Mitigação temporária via URL Rewrite para bloquear padrão de URL do SSRF - Monitorar requisições para `/autodiscover/autodiscover.json?@zdi/` no Exchange **URL Rewrite Workaround (enquanto patches não aplicados):** ``` Condition: {REQUEST_URI} matches .*autodiscover\.json.*@.*Powershell.* Action: Abort Request ``` > [!latam] Relevância para Brasil e LATAM > O grupo Play realizou campanhas documentadas na América do Sul em 2023 usando ProxyNotShell como vetor primário de acesso. Brasil foi um dos países afetados, com organizações dos setores de saúde, manufatura e serviços profissionais comprometidas. Empresas brasileiras com Exchange Server on-premises e sem patch de novembro/2022 aplicado permanecem em risco de comprometimento ativo. ## Referências - [Microsoft Security Update - CVE-2022-41040](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040) - [NVD - CVE-2022-41040](https://nvd.nist.gov/vuln/detail/CVE-2022-41040) - [GTSC Initial Discovery Report](https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html)