Microsoft sporer oppdateringer for to Exchange Server zero-day-sårbarheter rapportert over natten, men i mellomtiden bør bedrifter være på utkikk etter angrep. Datagiganten sa i en fredagsoppdatering at den allerede ser "begrensede målrettede angrep" som lenker feilene sammen for førstegangstilgang og overtakelse av e-postsystemet.
Feilene påvirker spesifikt lokale versjoner av Microsoft Exchange Server 2013, 2016 og 2019 som møter Internett, ifølge Microsoft. Det er imidlertid verdt å merke seg at sikkerhetsforsker Kevin Beaumont sier at Microsoft Exchange Online-kunder som kjører Exchange-hybridservere med Outlook Web Access (OWA) er også i faresonen, til tross for offisielle råd som sier at online-forekomster ikke påvirkes. Teamet på Rapid7 gjentok den vurderingen.
Feilene spores som følger:
- CVE-2022-41040 (CVSS 8.8), en server-side request forgery (SSRF) sårbarhet som gir tilgang til hvilken som helst postboks i Exchange;
- CVE-2022-41082 (CVSS 6.3), som tillater autentisert ekstern kjøring av kode (RCE) når PowerShell er tilgjengelig for angriperen.
Viktigere, autentisert tilgang til Exchange Server er nødvendig for utnyttelse, påpekte Microsofts varsling. Beaumont la til: "Vær oppmerksom på at utnyttelse krever gyldig ikke-administratorlegitimasjon for alle e-postbrukere."
Patcher og reduksjoner for CVE-2022-41040, CVE-2022-41082
Så langt er det ingen oppdatering tilgjengelig, men Microsoft har triaget feilene og sporer en retting raskt.
"Vi jobber med en akselerert tidslinje for å frigi en løsning," ifølge Microsofts fredagsmelding. "Inntil da gir vi veiledning for avbøtende og oppdagelse."
Begrensningene inkluderer å legge til en blokkeringsregel i "IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions" for å blokkere de kjente angrepsmønstrene; og selskapet inkluderte URL-omskrivingsinstruksjoner i rådgiveren, som det sa at det "bekreftet er vellykket i å bryte gjeldende angrepskjeder."
Også varselet bemerket at "siden autentiserte angripere som kan få tilgang til PowerShell Remoting på sårbare Exchange-systemer vil kunne utløse RCE ved å bruke CVE-2022-41082, kan blokkering av portene som brukes for Remote PowerShell begrense angrepene."
Avsløring av blindsider-feil
Feilene ble avslørt i et blogginnlegg fra det vietnamesiske sikkerhetsselskapet GTSC, som bemerket at det sendte inn feilrapporter til Trend Micros Zero Day Initiative forrige måned. Selv om dette vanligvis ville ha resultert i en ansvarlig prosess for avsløring av sårbarheter som Microsoft ville ha gjort 120 dager å lappe før funnene ble offentliggjort, bestemte GTSC seg for å publisere etter å ha sett angrep i naturen, heter det.
"Etter nøye testing bekreftet vi at disse systemene ble angrepet ved å bruke denne 0-dagers sårbarheten," bemerket GTSC-forskere i torsdagens blogginnlegg. "For å hjelpe fellesskapet midlertidig å stoppe angrepet før en offisiell oppdatering fra Microsoft er tilgjengelig, publiserer vi denne artikkelen rettet mot de organisasjonene som bruker Microsoft Exchange-e-postsystemet."
Den tilbød også detaljanalyse av feilkjeden, som er lik under panseret ProxyShell-gruppe med Exchange Server-sårbarheter. Dette fikk Beaumont (@gossithedog) til å døpe kjeden "ProxyNotShell," komplett med egen logo.
Han sa i sin analyse på fredag at mens mange attributter til feilene er nøyaktig som ProxyShell, løser ikke ProxyShell-patchene problemet. Han bemerket også at når det gjelder angrepsoverflate, "nær en kvart million sårbare Exchange-servere møter internett, gi eller ta."
Han karakteriserte situasjonen som "ganske risikabel" i en Twitter feed, og bemerker at utnyttelse ser ut til å ha pågått i minst en måned, og at nå som feilene er offentlige, kan ting "gå sørover ganske raskt." Han stilte også spørsmålstegn ved Microsofts veiledning for avbøtende tiltak.
"Min veiledning vil være å slutte å representere OWA på internett til det er en oppdatering, med mindre du ønsker å gå nedover avbøtende ruten ... men det har vært kjent i et år, og eh - det er andre måter å utnytte Exchange for RCE på uten PowerShell," twitret Beaumont. "For eksempel, hvis du har SSRF (CVE-2022-41040) er du gud i Exchange, og kan få tilgang til hvilken som helst postboks via EWS - se tidligere aktivitet. Så jeg er ikke sikker på at avbøtningen vil holde."
Microsoft svarte ikke umiddelbart på en forespørsel om kommentar fra Dark Reading.
