A Microsoft está rastreando patches rapidamente para duas vulnerabilidades de dia zero do Exchange Server relatadas durante a noite, mas enquanto isso, as empresas devem estar atentas a ataques. A gigante da computação disse em uma atualização de sexta-feira que já está vendo “ataques direcionados limitados” encadeando os bugs para acesso inicial e controle do sistema de e-mail.
As falhas afetam especificamente as versões locais do Microsoft Exchange Server 2013, 2016 e 2019 voltadas para a Internet, de acordo com a Microsoft. No entanto, vale a pena notar que o pesquisador de segurança Kevin Beaumont Que diz Os clientes do Microsoft Exchange Online que executam servidores híbridos do Exchange com Outlook Web Access (OWA) também correm risco, apesar do comunicado oficial afirmar que as instâncias online não são afetadas. A equipa do Rapid7 repetiu essa avaliação.
Os bugs são rastreados da seguinte forma:
- CVE-2022-41040 (CVSS 8.8), uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) que dá acesso a qualquer caixa de correio no Exchange;
- CVE-2022-41082 (CVSS 6.3), que permite a execução remota autenticada de código (RCE) quando o PowerShell está acessível ao invasor.
É importante ressaltar que o acesso autenticado ao Exchange Server é necessário para exploração, apontou o alerta da Microsoft. Beaumont acrescentou: “Observe que a exploração precisa de credenciais válidas de não administrador para qualquer usuário de e-mail”.
Patches e mitigações para CVE-2022-41040, CVE-2022-41082
Até agora, não há patch disponível, mas a Microsoft fez a triagem dos bugs e está buscando uma correção rápida.
“Estamos trabalhando em um cronograma acelerado para liberar uma correção”, de acordo com Aviso de sexta-feira da Microsoft. “Até então, estamos fornecendo as orientações de mitigação e deteção.”
As mitigações incluem adicionar uma regra de bloqueio em “IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions” para bloquear os padrões de ataque conhecidos; e a empresa incluiu instruções de reescrita de URL no comunicado, que disse “confirmar que são bem-sucedidas em quebrar as correntes de ataque atuais”.
Além disso, o alerta observou que “como os invasores autenticados que podem acessar o PowerShell Remoting em sistemas vulneráveis do Exchange poderão acionar o RCE usando CVE-2022-41082, bloquear as portas usadas para o Remote PowerShell pode limitar os ataques”.
Divulgação de bugs cegos
As falhas foram divulgadas em um post de blog da empresa de segurança vietnamita GTSC, que observou que enviou relatórios de bugs à Zero Day Initiative da Trend Micro no mês passado. Embora normalmente isso resultasse em um processo responsável de divulgação de vulnerabilidade no qual a Microsoft teria 120 dias para corrigir antes que as descobertas fossem tornadas públicas, o GTSC decidiu publicar depois de ver ataques in-the-wild, disse.
“Após testes cuidadosos, confirmamos que esses sistemas estavam sendo atacados usando essa vulnerabilidade de dia 0”, observaram os pesquisadores do GTSC em sua postagem no blog de quinta-feira. “Para ajudar a comunidade a interromper temporariamente o ataque antes que um patch oficial da Microsoft esteja disponível, publicamos este artigo com o objetivo de organizações que usam o sistema de e-mail do Microsoft Exchange.”
Ele também ofereceu uma análise detalhada da cadeia de bugs, que é semelhante sob o capô ao Grupo ProxyShell de vulnerabilidades do Exchange Server. Isso levou Beaumont (@gossithedog) a apelidar a cadeia de “ProxyNotShell”, completo com seu próprio logotipo.
Ele disse em sua análise na sexta-feira que, embora muitos atributos dos bugs sejam exatamente como o ProxyShell, os patches do ProxyShell não corrigem o problema. Ele também observou que, em termos de superfície de ataque, “quase um quarto de milhão de servidores Exchange vulneráveis enfrentam a Internet, mais ou menos”.
Ele caracterizou a situação como “bastante arriscada” em um Twitter, observando que a exploração parece estar acontecendo há pelo menos um mês, e que agora que as falhas são públicas, as coisas podem “ir para o sul muito rapidamente”. Ele também questionou a orientação de mitigação da Microsoft.
“Minha orientação seria parar de representar o OWA na Internet até que haja um patch, a menos que você queira seguir a rota de mitigação … mas isso é conhecido há um ano e, eh – há outras maneiras de explorar o Exchange para RCE sem o PowerShell”, twittou Beaumont. “Por exemplo, se você tiver SSRF (CVE-2022-41040), você é deus no Exchange e pode acessar qualquer caixa de correio via EWS — consulte a atividade anterior. Portanto, não tenho certeza de que a mitigação se sustentará.”
A Microsoft não respondeu imediatamente a um pedido de comentário de Dark Reading.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
