# CVE-2022-41080 > [!high] ProxyNotShell - Escalada de Privilégio no Microsoft Exchange - CVSS 8.8 > Componente da cadeia de exploração ProxyNotShell no Microsoft Exchange Server. Combinada com CVE-2022-41040, permite execução remota de código via PowerShell remoto, explorada pelo grupo de ransomware Play em ataques na América Latina. ## Visão Geral A [[cve-2022-41080|CVE-2022-41080]] é a segunda vulnerabilidade da cadeia de exploração conhecida como **ProxyNotShell**, afetando o **Microsoft Exchange Server**. Quando combinada com [[cve-2022-41040|CVE-2022-41040]] (SSRF), esta falha de escalada de privilégio permite acesso ao PowerShell Remoto do Exchange, viabilizando execução remota de código por atacantes autenticados. O que torna esta vulnerabilidade especialmente relevante para o contexto LATAM é a sua exploração pelo grupo de ransomware [[g1040-play|Play]] em campanhas documentadas na América Latina durante 2023. O Play comprometeu organizações no [[play-latam-campaign-2023|Brasil, Argentina e Chile]] utilizando esta cadeia de ataque como vetor de acesso inicial antes de implantar seu ransomware. Organizações que ainda mantêm Exchange Server on-premises (padrão prevalente em empresas brasileiras de médio e grande porte) devem priorizar a aplicação dos patches de outubro de 2022. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Escalada de Privilégio (Server-Side) | | Componente | Exchange PowerShell Backend | | Vetor | Rede (requer autenticação básica) | | Complexidade | Baixa | | Cadeia ProxyNotShell | Passo 2 (combinada com CVE-2022-41040) | ### Cadeia ProxyNotShell ``` CVE-2022-41040 (SSRF) → Acesso ao PowerShell Backend CVE-2022-41080 (EoP) → Execução de código como SYSTEM ``` O ataque requer uma conta de email válida no Exchange (mesmo com senha comprometida ou de baixo privilégio). O SSRF da CVE-2022-41040 redireciona a requisição para o backend do PowerShell, onde a CVE-2022-41080 eleva os privilégios. ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploração do Exchange exposto | | [[t1059-001-powershell\|T1059.001]] | Execução via PowerShell remoto do Exchange | | [[t1505-003-web-shell\|T1505.003]] | Web shell implantado no diretório do Exchange | | [[t1486-data-encrypted-for-impact\|T1486]] | Ransomware Play implantado pós-acesso | ## Detecção e Defesa **Mitigações:** - Aplicar Security Update de outubro de 2022 para Exchange - [[m1051-update-software\|M1051]] - Atualização urgente do Exchange Server - [[m1042-disable-or-remove-feature-or-program\|M1042]] - Bloquear PowerShell Remoto do Exchange se não utilizado - Verificar presença de web shells em `%ExchangeInstallPath%\FrontEnd\HttpProxy\` - Implementar regras de URL Rewrite como mitigação temporária > [!latam] Relevância para Brasil e LATAM > O grupo Play realizou campanhas específicas na América Latina utilizando ProxyNotShell como vetor principal. Empresas brasileiras com Exchange on-premises sem patch aplicado foram alvos documentados. O Play tem histórico de atacar setores financeiro, manufatura e serviços profissionais no Brasil - todos com alta prevalência de Exchange Server. ## Referências - [Microsoft Security Update - CVE-2022-41080](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41080) - [NVD - CVE-2022-41080](https://nvd.nist.gov/vuln/detail/CVE-2022-41080) - [GTSC ProxyNotShell Discovery](https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html)