Microsoft werkt aan snelle patches voor twee zero-day-kwetsbaarheden in Exchange Server die van de ene op de andere dag zijn gemeld, maar in de tussentijd moeten bedrijven op hun hoede zijn voor aanvallen. De computergigant zei in een vrijdagupdate dat er al sprake is van “beperkte gerichte aanvallen” waarbij de bugs aan elkaar worden gekoppeld voor initiële toegang en overname van het e-mailsysteem.
Volgens Microsoft zijn de fouten specifiek van invloed op lokale versies van Microsoft Exchange Server 2013, 2016 en 2019 die met internet te maken hebben. Het is echter vermeldenswaard dat beveiligingsonderzoeker Kevin Beaumont zegt dat Klanten van Microsoft Exchange Online die hybride Exchange-servers met Outlook Web Access (OWA) gebruiken, lopen ook risico, ondanks het officiële advies dat online-instanties geen gevolgen ondervinden. Het team van Rapid7 herhaalde die beoordeling.
De bugs worden als volgt bijgehouden:
- CVE-2022-41040 (CVSS 8.8), een SSRF-kwetsbaarheid (server-side request forgery) die toegang geeft tot elke mailbox in Exchange;
- CVE-2022-41082 (CVSS 6.3), waarmee geverifieerde uitvoering van externe code (RCE) mogelijk is wanneer PowerShell toegankelijk is voor de aanvaller.
Belangrijk is dat geverifieerde toegang tot de Exchange Server noodzakelijk is voor exploitatie, zo benadrukte Microsoft in de waarschuwing. Beaumont voegde hieraan toe: “Houd er rekening mee dat voor elke e-mailgebruiker geldige niet-beheerdersreferenties nodig zijn.”
Patches en oplossingen voor CVE-2022-41040, CVE-2022-41082
Tot nu toe is er geen patch beschikbaar, maar Microsoft heeft de bugs onderzocht en werkt snel aan een oplossing.
“We werken aan een versnelde tijdlijn om een oplossing vrij te geven”, aldus Microsofts vrijdagadvies. “Tot die tijd bieden we richtlijnen voor oplossingen en detecties.”
De oplossingen omvatten het toevoegen van een blokkeerregel in “IIS Manager -> Standaardwebsite -> Autodiscover -> URL herschrijven -> Acties” om de bekende aanvalspatronen te blokkeren; en het bedrijf nam instructies voor het herschrijven van URL's op in het advies, waarvan het zei dat het “bevestigde dat ze succesvol zijn in het doorbreken van de huidige aanvalsketens.”
In de waarschuwing werd ook opgemerkt dat “aangezien geauthenticeerde aanvallers die toegang hebben tot PowerShell Remoting op kwetsbare Exchange-systemen RCE kunnen activeren met behulp van CVE-2022-41082, het blokkeren van de poorten die worden gebruikt voor Remote PowerShell de aanvallen kan beperken.”
Blindsiding-bug openbaarmaking
De gebreken werden onthuld in een blogpost van het Vietnamese beveiligingsbedrijf GTSC, waarin werd opgemerkt dat het vorige maand bugrapporten had ingediend bij het Zero Day Initiative van Trend Micro. Hoewel dit doorgaans zou hebben geresulteerd in een verantwoord openbaarmakingsproces van kwetsbaarheden, zoals Microsoft dat ook zou hebben gedaan 120 dagen om te patchen Voordat de bevindingen openbaar werden gemaakt, besloot GTSC te publiceren na het zien van aanvallen in het wild, aldus het rapport.
“Na zorgvuldig testen hebben we bevestigd dat deze systemen werden aangevallen met behulp van deze 0-day-kwetsbaarheid”, merkten GTSC-onderzoekers op haar blogpost van donderdag. “Om de gemeenschap te helpen de aanval tijdelijk te stoppen voordat er een officiële patch van Microsoft beschikbaar is, publiceren we dit artikel gericht op organisaties die het Microsoft Exchange-e-mailsysteem gebruiken.”
Het bood ook een gedetailleerde analyse van de bugketen, die onder de motorkap vergelijkbaar is met de ProxyShell-groep van Exchange Server-kwetsbaarheden. Dit was voor Beaumont (@gossithedog) aanleiding om de keten ‘ProxyNotShell’ te noemen. compleet met een eigen logo.
Hij zei vrijdag in zijn analyse dat hoewel veel kenmerken van de bugs precies hetzelfde zijn als ProxyShell, de ProxyShell-patches het probleem niet oplossen. Hij merkte ook op dat, in termen van aanvalsoppervlak, “bijna een kwart miljoen kwetsbare Exchange-servers met internet te maken hebben, wat het ook is.”
Hij typeerde de situatie als “behoorlijk riskant” in a Twitter-feed, waarbij hij opmerkt dat de uitbuiting al minstens een maand aan de gang lijkt te zijn, en dat nu de tekortkomingen openbaar zijn, de zaken ‘vrij snel naar het zuiden zouden kunnen gaan’. Hij trok ook de mitigatierichtlijnen van Microsoft in twijfel.
“Mijn advies zou zijn om te stoppen met het vertegenwoordigen van OWA op internet totdat er een patch is, tenzij je de mitigatieroute wilt volgen … maar dat is al een jaar bekend, en, eh – er zijn andere manieren om Exchange voor RCE te exploiteren zonder PowerShell”, tweette Beaumont. “Als je bijvoorbeeld SSRF (CVE-2022-41040) hebt, ben je een god in Exchange en heb je toegang tot elke mailbox via EWS – zie de eerdere activiteit. Ik ben er dus niet zeker van dat de verzachting stand zal houden.”
Microsoft reageerde niet onmiddellijk op een verzoek om commentaar van Dark Reading.
