Microsoft snabbspårar patchar för två Exchange Server noll-dagars sårbarheter som rapporterats över en natt, men under tiden bör företag vara på jakt efter attacker. Datorjätten sa i en fredagsuppdatering att den redan ser "begränsade riktade attacker" som kedjar ihop buggarna för första åtkomst och övertagande av e-postsystemet.
Bristerna påverkar specifikt lokala versioner av Microsoft Exchange Server 2013, 2016 och 2019 som möter Internet, enligt Microsoft. Det är dock värt att notera att säkerhetsforskaren Kevin Beaumont säger att Microsoft Exchange Online-kunder som kör Exchange-hybridservrar med Outlook Web Access (OWA) är också i riskzonen, trots att de officiella råden säger att online-instanser inte påverkas. Teamet på Rapid7 upprepade den bedömningen.
Buggarna spåras enligt följande:
- CVE-2022-41040 (CVSS 8.8), en server-side request forgery (SSRF) sårbarhet som ger åtkomst till valfri postlåda i Exchange;
- CVE-2022-41082 (CVSS 6.3), som tillåter autentiserad fjärrkodsexekvering (RCE) när PowerShell är tillgängligt för angriparen.
Viktigt är att autentiserad åtkomst till Exchange-servern är nödvändig för utnyttjande, påpekade Microsofts varning. Beaumont tillade, "Observera att exploatering kräver giltiga icke-administratörsuppgifter för alla e-postanvändare."
Patchar och begränsningar för CVE-2022-41040, CVE-2022-41082
Än så länge finns det ingen patch tillgänglig, men Microsoft har triaget buggarna och snabbspårar en fix.
"Vi arbetar på en accelererad tidslinje för att släppa en fix," enligt Microsofts fredagsmeddelande. "Tills dess tillhandahåller vi vägledning för begränsningar och upptäckter."
Åtgärderna inkluderar att lägga till en blockeringsregel i "IIS Manager -> Standardwebbplats -> Autodiscover -> URL Rewrite -> Actions" för att blockera de kända attackmönstren; och företaget inkluderade instruktioner för URL-omskrivning i rådgivningen, som det sa att det "bekräftade att de lyckades bryta nuvarande attackkedjor."
Varningen noterade också att "eftersom autentiserade angripare som kan komma åt PowerShell Remoting på sårbara Exchange-system kommer att kunna utlösa RCE med CVE-2022-41082, kan blockering av portarna som används för Remote PowerShell begränsa attackerna."
Blindsiding-Bug Disclosure
Bristerna avslöjades i ett blogginlägg från det vietnamesiska säkerhetsföretaget GTSC, som noterade att det skickade in buggrapporter till Trend Micros Zero Day Initiative förra månaden. Även om detta vanligtvis skulle ha resulterat i en ansvarsfull process för avslöjande av sårbarheter som Microsoft skulle ha gjort 120 dagar att lappa Innan fynden offentliggjordes, beslutade GTSC att publicera efter att ha sett in-the-wild attacker, stod det.
"Efter noggranna tester bekräftade vi att dessa system attackerades med denna 0-dagars sårbarhet," noterade GTSC-forskare i sitt torsdagsblogginlägg. "För att hjälpa samhället att tillfälligt stoppa attacken innan en officiell patch från Microsoft är tillgänglig, publicerar vi den här artikeln som riktar sig till de organisationer som använder Microsoft Exchange e-postsystem."
Det erbjöd också detaljanalys av buggkedjan, som liknar den under huven ProxyShell-grupp med Exchange Server-sårbarheter. Detta fick Beaumont (@gossithedog) att dubba kedjan "ProxyNotShell", komplett med egen logotyp.
Han sa i sin analys på fredagen att även om många attribut hos buggarna är exakt som ProxyShell, löser inte ProxyShell-patcharna problemet. Han noterade också att när det gäller attackytan, "nära en kvarts miljon sårbara Exchange-servrar möter internet, ger eller tar."
Han karakteriserade situationen som "ganska riskabel" i en Twitter flöde, och noterar att exploatering verkar ha pågått i minst en månad, och att nu när bristerna är offentliga kan saker och ting "gå söderut ganska snabbt." Han ifrågasatte också Microsofts begränsningsvägledning.
"Min vägledning skulle vara att sluta representera OWA på internet tills det finns en patch, såvida du inte vill gå ner på begränsningsvägen ... men det har varit känt i ett år, och eh - det finns andra sätt att utnyttja Exchange för RCE utan PowerShell", twittrade Beaumont. "Om du till exempel har SSRF (CVE-2022-41040) är du gud i Exchange och kan komma åt vilken postlåda som helst via EWS - se föregående aktivitet. Så jag är inte säker på att begränsningen kommer att hålla.”
Microsoft svarade inte omedelbart på en begäran om kommentar från Dark Reading.
