A Microsoft gyorsan nyomon követi az Exchange Server két nulladik napi sebezhetőségét, amelyeket egyik napról a másikra jelentettek, de addig is a vállalkozásoknak figyelniük kell a támadásokra. A számítástechnikai óriás egy pénteki frissítésében azt mondta, hogy már látja a „korlátozott célzott támadásokat”, amelyek összeláncolják a hibákat az e-mail rendszer kezdeti eléréséhez és átvételéhez.
A Microsoft szerint a hibák kifejezetten a Microsoft Exchange Server 2013, 2016 és 2019 helyszíni verzióit érintik, amelyek az internetre néznek. Érdemes azonban megjegyezni, hogy Kevin Beaumont biztonságkutató azt mondja, hogy A Microsoft Exchange Online ügyfelek, akik Exchange hibrid szervereket futtatnak Outlook Web Access (OWA) szolgáltatással, szintén veszélyben vannak, annak ellenére, hogy a hivatalos figyelmeztetés szerint az online példányokat ez nem érinti. A Rapid7 csapata ezt az értékelést visszhangozta.
A hibák nyomon követése a következőképpen történik:
- CVE-2022-41040 (CVSS 8.8), egy szerveroldali kérés-hamisítási (SSRF) biztonsági rés, amely hozzáférést biztosít az Exchange bármely postafiókjához;
- CVE-2022-41082 (CVSS 6.3), amely lehetővé teszi a hitelesített távoli kódvégrehajtást (RCE), amikor a PowerShell elérhető a támadó számára.
Fontos, hogy a kiaknázáshoz hitelesített hozzáférés szükséges az Exchange Serverhez – mutat rá a Microsoft figyelmeztetése. Beaumont hozzátette: "Kérjük, vegye figyelembe, hogy a kiaknázáshoz érvényes, nem rendszergazdai hitelesítő adatokra van szükség minden e-mail felhasználó számára."
Javítások és enyhítések a CVE-2022-41040, CVE-2022-41082 esetén
Egyelőre nem érhető el javítás, de a Microsoft kivizsgálta a hibákat, és gyors ütemben keresi a javítást.
„Gyorsított idővonalon dolgozunk, hogy kiadjunk egy javítást” – mondta A Microsoft pénteki tanácsadója. "Addig mi adunk útmutatást a mérsékléshez és az észleléshez."
A mérséklések közé tartozik egy blokkoló szabály hozzáadása az „IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions” pontban az ismert támadási minták blokkolására; és a cég URL-újraírási utasításokat is tartalmazott a tanácsadóban, amelyről azt mondta, hogy „megerősítette, hogy sikeresek a jelenlegi támadási láncok megszakításában”.
A figyelmeztetés azt is megjegyezte, hogy "mivel a hitelesített támadók, akik hozzáférhetnek a PowerShell Remotinghoz a sebezhető Exchange rendszereken, képesek lesznek RCE-t kiváltani a CVE-2022-41082 használatával, a távoli PowerShellhez használt portok blokkolása korlátozhatja a támadásokat."
Blindsiding-Bug Disclosure
A hibákat a vietnami biztonsági cég, a GTSC egy blogbejegyzésében tárták fel, amely megjegyezte, hogy a múlt hónapban hibajelentéseket nyújtott be a Trend Micro Zero Day Initiative számára. Jóllehet ez általában egy felelősségteljes sebezhetőség-felfedési folyamatot eredményezett volna, ahogyan a Microsoft is 120 nap a javításig Az eredmények nyilvánosságra hozatala előtt a GTSC úgy döntött, hogy közzéteszi, miután látta a vadon élő támadásokat.
„Gondos tesztelés után megerősítettük, hogy ezeket a rendszereket ezzel a 0 napos biztonsági résszel támadták meg” – jegyezték meg a GTSC kutatói. csütörtöki blogbejegyzése. "Annak érdekében, hogy a közösség átmenetileg leállíthassa a támadást, mielőtt a Microsoft hivatalos javítása elérhető lenne, közzétesszük ezt a cikket, amely azoknak a szervezeteknek szól, akik Microsoft Exchange levelezőrendszert használnak."
Részletes elemzést is kínált a hibaláncról, amely hasonló a motorháztető alatt, mint a Az Exchange Server sebezhetőségeinek ProxyShell csoportja. Ez arra késztette Beaumontot (@gossithedog), hogy a láncot „ProxyNotShell”-nek nevezze el. saját logóval kiegészítve.
Pénteki elemzésében azt mondta, hogy bár a hibák sok tulajdonsága pontosan olyan, mint a ProxyShell, a ProxyShell javítások nem oldják meg a problémát. Azt is megjegyezte, hogy a támadási felületet tekintve „közel negyedmillió sebezhető Exchange-szerver néz szembe az internettel, ad vagy vesz”.
A helyzetet „elég kockázatosnak” jellemezte a Twitter-hírcsatorna, megjegyezve, hogy úgy tűnik, a kizsákmányolás már legalább egy hónapja tart, és most, hogy a hibák nyilvánosak, a dolgok „elég gyorsan délre fordulhatnak”. Megkérdőjelezte a Microsoft mérséklő útmutatásait is.
„Az én útmutatásom az lenne, hogy ne képviselje az OWA-t az interneten, amíg nincs javítás, hacsak nem a mérséklési úton akarsz haladni… de ez már egy éve ismert, és hát – vannak más módok is az Exchange for RCE kiaknázására. PowerShell nélkül” – írta Beaumont a Twitteren. „Ha például rendelkezik SSRF-vel (CVE-2022-41040), akkor isten az Exchange-ben, és bármely postafiókhoz hozzáférhet az EWS-en keresztül – lásd az előző tevékenységet. Szóval nem vagyok benne biztos, hogy a mérséklés érvényes lesz.”
A Microsoft nem válaszolt azonnal a Dark Reading megjegyzéskérésére.
