Η Microsoft επιβεβαιώνει Ζεύγος Blindsideing Exchange Zero-Days, χωρίς ενημέρωση κώδικα ακόμα

Η Microsoft παρακολουθεί ταχεία ενημέρωση κώδικα για δύο ευπάθειες του Exchange Server zero-day που αναφέρθηκαν κατά τη διάρκεια της νύχτας, αλλά στο μεταξύ, οι επιχειρήσεις θα πρέπει να είναι σε επιφυλακή για επιθέσεις. Ο γίγαντας των υπολογιστών είπε σε μια ενημέρωση της Παρασκευής ότι ήδη βλέπει «περιορισμένες στοχευμένες επιθέσεις» που αλυσιδώνουν τα σφάλματα μεταξύ τους για την αρχική πρόσβαση και την ανάληψη του συστήματος email.

Τα ελαττώματα επηρεάζουν συγκεκριμένα τις εσωτερικές εκδόσεις του Microsoft Exchange Server 2013, 2016 και 2019 που αντιμετωπίζουν το Διαδίκτυο, σύμφωνα με τη Microsoft. Ωστόσο, αξίζει να σημειωθεί ότι ο ερευνητής ασφάλειας Kevin Beaumont λέει ότι Οι πελάτες του Microsoft Exchange Online που εκτελούν υβριδικούς διακομιστές Exchange με Outlook Web Access (OWA) κινδυνεύουν επίσης, παρά την επίσημη συμβουλή που αναφέρει ότι οι διαδικτυακές παρουσίες δεν επηρεάζονται. Η ομάδα στο Rapid7 απηχούσε αυτή την εκτίμηση.

Τα σφάλματα παρακολουθούνται ως εξής:

• CVE-2022-41040 (CVSS 8.8), μια ευπάθεια πλαστογράφησης αιτημάτων από την πλευρά του διακομιστή (SSRF) που παρέχει πρόσβαση σε οποιοδήποτε γραμματοκιβώτιο στο Exchange.
• CVE-2022-41082 (CVSS 6.3), που επιτρέπει έλεγχο ταυτότητας απομακρυσμένης εκτέλεσης κώδικα (RCE) όταν το PowerShell είναι προσβάσιμο στον εισβολέα.

Είναι σημαντικό ότι η επαληθευμένη πρόσβαση στον Exchange Server είναι απαραίτητη για την εκμετάλλευση, επισημαίνεται στην προειδοποίηση της Microsoft. Ο Beaumont πρόσθεσε, "Λάβετε υπόψη ότι η εκμετάλλευση απαιτεί έγκυρα διαπιστευτήρια μη διαχειριστή για οποιονδήποτε χρήστη ηλεκτρονικού ταχυδρομείου."

Επιδιορθώσεις & Μετριασμούς για CVE-2022-41040, CVE-2022-41082

Μέχρι στιγμής, δεν υπάρχει διαθέσιμη ενημέρωση κώδικα, αλλά η Microsoft έχει αντιμετωπίσει τα σφάλματα και παρακολουθεί γρήγορα μια διόρθωση.

«Εργαζόμαστε σε ένα επιταχυνόμενο χρονοδιάγραμμα για να κυκλοφορήσουμε μια επιδιόρθωση», σύμφωνα με Η συμβουλή της Microsoft για την Παρασκευή. "Μέχρι τότε, παρέχουμε τις κατευθύνσεις μετριασμού και ανίχνευσης."

Οι μετριάσεις περιλαμβάνουν την προσθήκη ενός κανόνα αποκλεισμού στο "IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions" για τον αποκλεισμό των γνωστών μοτίβων επίθεσης. και η εταιρεία συμπεριέλαβε οδηγίες επανεγγραφής URL στο συμβουλευτικό, το οποίο είπε ότι «επιβεβαίωσε ότι είναι επιτυχείς στο σπάσιμο των τρεχουσών αλυσίδων επίθεσης».

Επίσης, η ειδοποίηση σημείωσε ότι «καθώς οι επαληθευμένοι εισβολείς που έχουν πρόσβαση στο PowerShell Remoting σε ευάλωτα συστήματα Exchange θα μπορούν να ενεργοποιήσουν το RCE χρησιμοποιώντας το CVE-2022-41082, ο αποκλεισμός των θυρών που χρησιμοποιούνται για το Remote PowerShell μπορεί να περιορίσει τις επιθέσεις».

Blindsideding-Bug Αποκάλυψη

Τα ελαττώματα αποκαλύφθηκαν σε μια ανάρτηση ιστολογίου από τη βιετναμέζικη εταιρεία ασφαλείας GTSC, η οποία σημείωσε ότι υπέβαλε αναφορές σφαλμάτων στην πρωτοβουλία Zero Day της Trend Micro τον περασμένο μήνα. Αν και συνήθως αυτό θα είχε ως αποτέλεσμα μια υπεύθυνη διαδικασία αποκάλυψης ευπάθειας στην οποία θα είχε η Microsoft 120 ημέρες για να επιδιορθωθεί Πριν δημοσιοποιηθούν τα ευρήματα, η GTSC αποφάσισε να δημοσιεύσει αφού είδε επιθέσεις στη φύση, είπε.

"Μετά από προσεκτικές δοκιμές, επιβεβαιώσαμε ότι αυτά τα συστήματα δέχονταν επίθεση χρησιμοποιώντας αυτήν την ευπάθεια 0 ημερών", σημείωσαν οι ερευνητές του GTSC στο Η ανάρτησή του στο blog της Πέμπτης. "Για να βοηθήσουμε την κοινότητα να σταματήσει προσωρινά την επίθεση πριν να είναι διαθέσιμη μια επίσημη ενημέρωση κώδικα από τη Microsoft, δημοσιεύουμε αυτό το άρθρο με στόχο τους οργανισμούς που χρησιμοποιούν το σύστημα email του Microsoft Exchange."

Προσέφερε επίσης λεπτομερή ανάλυση της αλυσίδας σφαλμάτων, η οποία είναι παρόμοια με την κουκούλα Ομάδα τρωτών σημείων του Exchange Server ProxyShell. Αυτό ώθησε τον Beaumont (@gossithedog) να μεταγλωττίσει την αλυσίδα "ProxyNotShell". με το δικό του λογότυπο.

Είπε στην ανάλυσή του την Παρασκευή ότι ενώ πολλά χαρακτηριστικά των σφαλμάτων είναι ακριβώς όπως το ProxyShell, οι ενημερώσεις κώδικα ProxyShell δεν διορθώνουν το πρόβλημα. Σημείωσε επίσης ότι όσον αφορά την επιφάνεια επίθεσης, «σχεδόν το ένα τέταρτο του εκατομμυρίου ευάλωτων διακομιστών Exchange αντιμετωπίζουν το διαδίκτυο, δίνουν ή παίρνουν».

Χαρακτήρισε την κατάσταση ως «αρκετά επικίνδυνη» στο α Twitter ζωοτροφών, σημειώνοντας ότι η εκμετάλλευση φαίνεται να συνεχίζεται για τουλάχιστον ένα μήνα και ότι τώρα που τα ελαττώματα είναι δημόσια, τα πράγματα θα μπορούσαν «να πάνε νότια αρκετά γρήγορα». Αμφισβήτησε επίσης τις οδηγίες μετριασμού της Microsoft.

«Η καθοδήγησή μου θα ήταν να σταματήσετε να εκπροσωπείτε την OWA στο Διαδίκτυο έως ότου υπάρξει μια ενημερωμένη έκδοση κώδικα, εκτός και αν θέλετε να ακολουθήσετε τη διαδρομή μετριασμού… αλλά αυτό είναι γνωστό εδώ και ένα χρόνο, και, ε — υπάρχουν άλλοι τρόποι εκμετάλλευσης του Exchange για RCE χωρίς PowerShell», έγραψε ο Beaumont στο Twitter. «Για παράδειγμα, εάν έχετε SSRF (CVE-2022-41040) είστε θεός στο Exchange και μπορείτε να έχετε πρόσβαση σε οποιοδήποτε γραμματοκιβώτιο μέσω EWS — δείτε την προηγούμενη δραστηριότητα. Οπότε, δεν είμαι σίγουρος ότι ο μετριασμός θα κρατήσει».

Η Microsoft δεν απάντησε αμέσως σε αίτημα για σχόλιο από την Dark Reading.