Microsoft подтверждает пару слепых уязвимостей Exchange Zero-Days, исправлений пока нет

Microsoft быстро отслеживает исправления для двух уязвимостей нулевого дня Exchange Server, о которых сообщалось накануне, но в то же время предприятиям следует следить за атаками. Вычислительный гигант заявил в пятничном обновлении, что он уже наблюдает «ограниченные целевые атаки», объединяющие ошибки для первоначального доступа и захвата системы электронной почты.

По словам Microsoft, недостатки особенно затрагивают локальные версии Microsoft Exchange Server 2013, 2016 и 2019, которые выходят в Интернет. Однако стоит отметить, что исследователь безопасности Кевин Бомонт говорит, что Клиенты Microsoft Exchange Online, использующие гибридные серверы Exchange с Outlook Web Access (OWA), также подвержены риску, несмотря на официальные рекомендации, в которых говорится, что экземпляры Online не затрагиваются. Команда Rapid7 повторил эту оценку.

Ошибки отслеживаются следующим образом:

• CVE-2022-41040 (CVSS 8.8), уязвимость подделки запросов на стороне сервера (SSRF), дающая доступ к любому почтовому ящику в Exchange;
• CVE-2022-41082 (CVSS 6.3), которая позволяет выполнять удаленное выполнение кода с проверкой подлинности (RCE), когда PowerShell доступен злоумышленнику.

Важно отметить, что для эксплуатации необходим аутентифицированный доступ к серверу Exchange, говорится в предупреждении Microsoft. Бомонт добавил: «Обратите внимание, что для эксплуатации требуются действительные учетные данные без прав администратора для любого пользователя электронной почты».

Патчи и средства защиты от CVE-2022-41040, CVE-2022-41082

Пока нет доступных исправлений, но Microsoft проверила ошибки и быстро исправила их.

«Мы работаем над ускоренным графиком выпуска исправления», — говорится в сообщении. Пятничный бюллетень Microsoft. «До тех пор мы предоставляем рекомендации по смягчению последствий и обнаружению».

Меры по смягчению последствий включают добавление правила блокировки в «Диспетчер IIS -> Веб-сайт по умолчанию -> Автообнаружение -> Перезапись URL-адресов -> Действия», чтобы блокировать известные шаблоны атак; и компания включила в бюллетень инструкции по перезаписи URL-адресов, которые, по ее словам, «подтвердили, что они успешно разбивают текущие цепочки атак».

Кроме того, в предупреждении отмечается, что «поскольку аутентифицированные злоумышленники, которые могут получить доступ к удаленному взаимодействию PowerShell в уязвимых системах Exchange, смогут запускать RCE с помощью CVE-2022-41082, блокировка портов, используемых для удаленной оболочки PowerShell, может ограничить атаки».

Раскрытие информации об ошибках вслепую

Недостатки были раскрыты в сообщении в блоге вьетнамской компании по обеспечению безопасности GTSC, которая отметила, что в прошлом месяце она отправила отчеты об ошибках в инициативу Trend Micro Zero Day Initiative. Хотя обычно это приводило к ответственному процессу раскрытия уязвимостей, в котором Microsoft 120 дней на исправление до того, как результаты были обнародованы, GTSC решила опубликовать их, увидев атаки в дикой природе, говорится в сообщении.

«После тщательного тестирования мы подтвердили, что эти системы были атакованы с использованием этой 0-day уязвимости», — отметили исследователи GTSC в его сообщение в четверг в блоге. «Чтобы помочь сообществу временно остановить атаку до того, как будет выпущен официальный патч от Microsoft, мы публикуем эту статью, предназначенную для тех организаций, которые используют систему электронной почты Microsoft Exchange».

Он также предлагает подробный анализ цепочки ошибок, которая внутри похожа на Группа уязвимостей ProxyShell Exchange Server. Это побудило Бомонта (@gossithedog) назвать цепочку «ProxyNotShell». в комплекте с собственным логотипом.

В своем анализе в пятницу он сказал, что, хотя многие атрибуты ошибок точно такие же, как у ProxyShell, исправления ProxyShell не решают проблему. Он также отметил, что с точки зрения поверхности атаки «около четверти миллиона уязвимых серверов Exchange сталкиваются с Интернетом, плюс-минус».

Он охарактеризовал ситуацию как «довольно рискованную». Твиттере, отметив, что эксплуатация, по-видимому, продолжается уже как минимум месяц, и что теперь, когда недостатки стали достоянием общественности, все может «довольно быстро пойти наперекосяк». Он также поставил под сомнение руководство Microsoft по смягчению последствий.

«Моим руководством было бы прекратить представлять OWA в Интернете до тех пор, пока не будет патча, если только вы не хотите пойти по пути смягчения… но об этом известно уже год, и, да — есть другие способы использовать Exchange для RCE. без PowerShell», — написал Бомонт в Твиттере. «Например, если у вас есть SSRF (CVE-2022-41040), вы хорошо разбираетесь в Exchange и можете получить доступ к любому почтовому ящику через EWS — см. предыдущее действие. Так что я не уверен, что смягчение будет действовать».

Microsoft не сразу ответила на запрос Dark Reading о комментариях.