# CVE-2022-41082 > [!high] ProxyNotShell - RCE no Microsoft Exchange via PowerShell - CVSS 8.8 > Segunda vulnerabilidade da cadeia ProxyNotShell no Exchange Server. Quando combinada com CVE-2022-41040, permite execução remota de código por usuários autenticados com baixo privilégio. Explorada pelo grupo de ransomware Play em campanhas na América Latina. ## Visão Geral A [[cve-2022-41082|CVE-2022-41082]] é a vulnerabilidade de **execução remota de código** que completa a cadeia de ataque **ProxyNotShell** no Microsoft Exchange Server. Quando combinada com [[cve-2022-41040|CVE-2022-41040]] (SSRF), um atacante com credenciais de usuário Exchange de baixo privilégio pode executar comandos arbitrários no servidor com permissões SYSTEM. Esta CVE é diferente da [[cve-2022-41080|CVE-2022-41080]] (EoP), sendo uma CVE RCE separada, ambas identificadas como parte do conjunto ProxyNotShell. A [[_microsoft|Microsoft]] inicialmente lançou mitigações antes do patch completo de novembro de 2022, mas essas mitigações foram contornadas por pesquisadores, aumentando a urgência da atualização. O grupo de ransomware [[g1040-play|Play]] foi documentado utilizando esta cadeia como vetor de acesso inicial em campanhas específicas contra organizações na [[play-latam-campaign-2023|América Latina]], incluindo Brasil, Argentina e Chile durante 2023. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | RCE via PowerShell Remoto do Exchange | | Componente | Exchange Server - PowerShell Backend | | Vetor | Rede (requer conta Exchange válida) | | Complexidade | Baixa | | Cadeia ProxyNotShell | CVE-2022-41040 + CVE-2022-41082 | ### Diferença entre CVE-2022-41082 e CVE-2022-41080 | CVE | Tipo | Componente | |-----|------|------------| | CVE-2022-41040 | SSRF | Frontend/URL Routing | | CVE-2022-41082 | RCE | PowerShell Backend | | CVE-2022-41080 | EoP | Exchange MAPI | ### Fluxo de Exploração ``` Conta Exchange válida → CVE-2022-41040 (SSRF): acessa PowerShell backend via URL manipulada → CVE-2022-41082 (RCE): injeta cmdlets maliciosos no PowerShell → Execução como SYSTEM no Exchange Server → Implantação de web shell para persistência ``` ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploração do Exchange exposto | | [[t1059-001-powershell\|T1059.001]] | RCE via PowerShell Remoto Exchange | | [[t1505-003-web-shell\|T1505.003]] | Web shell nos diretórios do Exchange | | [[t1486-data-encrypted-for-impact\|T1486]] | Ransomware Play pós-comprometimento | ## Detecção e Defesa **Mitigações:** - Aplicar Exchange Security Update de novembro de 2022 (KB5019758) - [[m1051-update-software\|M1051]] - Atualização urgente do Exchange Server - Verificar existência de web shells no diretório de FrontEnd do Exchange - Monitorar execução de PowerShell pelo processo `w3wp.exe` do Exchange > [!latam] Relevância para Brasil e LATAM > O grupo Play realizou campanhas documentadas contra organizações sul-americanas usando ProxyNotShell. Empresas brasileiras com Exchange Server on-premises sem o patch de novembro/2022 aplicado foram alvos confirmados. O Play tem foco em organizações de médio porte nos setores de manufatura, saúde e serviços profissionais no Brasil - todos com alta adoção de Exchange on-premises. ## Referências - [Microsoft Security Update - CVE-2022-41082](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082) - [NVD - CVE-2022-41082](https://nvd.nist.gov/vuln/detail/CVE-2022-41082) - [Microsoft Blog - ProxyNotShell](https://www.microsoft.com/en-us/security/blog/2022/09/30/analyzing-attacks-using-the-exchange-vulnerabilities-CVE-2022-41040-and-CVE-2022-41082/)