Microsoft ยืนยันการแลกเปลี่ยน Blindsiding Zero-Days, ยังไม่มีแพตช์

Microsoft กำลังติดตามแพตช์อย่างรวดเร็วสำหรับช่องโหว่ Zero-day ของ Exchange Server XNUMX รายการที่รายงานข้ามคืน แต่ในระหว่างนี้ ธุรกิจต่างๆ ควรระวังการโจมตี ยักษ์ใหญ่ด้านคอมพิวเตอร์กล่าวในการอัปเดตเมื่อวันศุกร์ว่าได้เห็น "การโจมตีแบบกำหนดเป้าหมายที่จำกัด" ซึ่งเชื่อมโยงข้อบกพร่องเข้าด้วยกันเพื่อการเข้าถึงและการครอบครองระบบอีเมลเบื้องต้น

ข้อบกพร่องดังกล่าวส่งผลกระทบโดยเฉพาะต่อ Microsoft Exchange Server 2013, 2016 และ 2019 เวอร์ชันภายในองค์กรที่เผชิญกับอินเทอร์เน็ต ตามข้อมูลของ Microsoft อย่างไรก็ตาม เป็นที่น่าสังเกตว่านักวิจัยด้านความปลอดภัย Kevin Beaumont ที่ระบุว่า ลูกค้า Microsoft Exchange Online ที่ใช้เซิร์ฟเวอร์ไฮบริดสลี Exchange ด้วย Outlook Web Access (OWA) ก็มีความเสี่ยงเช่นกัน แม้ว่าคำแนะนำอย่างเป็นทางการจะระบุว่าอินสแตนซ์ออนไลน์จะไม่ได้รับผลกระทบก็ตาม ทีมงาน Rapid7 สะท้อนการประเมินนั้น.

มีการติดตามข้อบกพร่องดังนี้:

• CVE-2022-41040 (CVSS 8.8) ช่องโหว่การปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์ (SSRF) ที่ให้การเข้าถึงกล่องจดหมายใด ๆ ใน Exchange
• CVE-2022-41082 (CVSS 6.3) ซึ่งอนุญาตการเรียกใช้โค้ดจากระยะไกล (RCE) ที่ได้รับการรับรองความถูกต้อง เมื่อผู้โจมตีสามารถเข้าถึง PowerShell ได้

ที่สำคัญ การเข้าถึง Exchange Server ที่ผ่านการรับรองความถูกต้องนั้นเป็นสิ่งจำเป็นสำหรับการแสวงหาผลประโยชน์ การแจ้งเตือนของ Microsoft ชี้ให้เห็น โบมอนต์กล่าวเสริมว่า “โปรดทราบว่าการแสวงหาประโยชน์จำเป็นต้องมีข้อมูลรับรองที่ไม่ใช่ผู้ดูแลระบบที่ถูกต้องสำหรับผู้ใช้อีเมลทุกคน”

โปรแกรมแก้ไขและการบรรเทาผลกระทบสำหรับ CVE-2022-41040, CVE-2022-41082

จนถึงขณะนี้ยังไม่มีแพตช์ แต่ Microsoft ได้ทดสอบข้อบกพร่องแล้วและกำลังติดตามการแก้ไขอย่างรวดเร็ว

“เรากำลังดำเนินการตามกำหนดเวลาเร่งด่วนเพื่อเผยแพร่การแก้ไข” ตามที่ระบุไว้ คำแนะนำวันศุกร์ของ Microsoft. “จนถึงตอนนั้น เรากำลังให้คำแนะนำในการบรรเทาและการตรวจจับ”

การบรรเทาผลกระทบรวมถึงการเพิ่มกฎการบล็อกใน “IIS Manager -> เว็บไซต์เริ่มต้น -> การค้นหาอัตโนมัติ -> การเขียน URL ใหม่ -> การดำเนินการ” เพื่อบล็อกรูปแบบการโจมตีที่รู้จัก และบริษัทได้รวมคำแนะนำในการเขียน URL ใหม่ไว้ในคำแนะนำ ซึ่งระบุว่า “ยืนยันว่าประสบความสำเร็จในการทำลายห่วงโซ่การโจมตีในปัจจุบัน”

นอกจากนี้ การแจ้งเตือนยังตั้งข้อสังเกตอีกว่า “เนื่องจากผู้โจมตีที่ผ่านการรับรองความถูกต้องซึ่งสามารถเข้าถึง PowerShell Remoting บนระบบ Exchange ที่มีช่องโหว่จะสามารถทริกเกอร์ RCE โดยใช้ CVE-2022-41082 ได้ การบล็อกพอร์ตที่ใช้สำหรับ Remote PowerShell จึงสามารถจำกัดการโจมตีได้”

การเปิดเผยข้อมูล Blindsiding-Bug

ข้อบกพร่องดังกล่าวได้รับการเปิดเผยในบล็อกโพสต์จากบริษัทรักษาความปลอดภัย GTSC ของเวียดนาม ซึ่งระบุว่าได้ส่งรายงานข้อผิดพลาดไปยัง Zero Day Initiative ของ Trend Micro เมื่อเดือนที่แล้ว แม้ว่าโดยทั่วไปแล้ว สิ่งนี้จะส่งผลให้เกิดกระบวนการเปิดเผยช่องโหว่ที่มีความรับผิดชอบซึ่ง Microsoft จะมี 120 วันในการแพทช์ ก่อนที่จะเปิดเผยการค้นพบนี้ต่อสาธารณะ GTSC ตัดสินใจเผยแพร่หลังจากพบเห็นการโจมตีในป่า

“หลังจากการทดสอบอย่างรอบคอบ เรายืนยันว่าระบบเหล่านั้นถูกโจมตีโดยใช้ช่องโหว่ 0 วันนี้” นักวิจัยของ GTSC ตั้งข้อสังเกตใน โพสต์บล็อกวันพฤหัสบดี. “เพื่อช่วยให้ชุมชนหยุดการโจมตีชั่วคราวก่อนที่แพตช์อย่างเป็นทางการจาก Microsoft จะพร้อมใช้งาน เราจึงเผยแพร่บทความนี้โดยมุ่งเป้าไปที่องค์กรที่ใช้ระบบอีเมล Microsoft Exchange”

นอกจากนี้ยังเสนอการวิเคราะห์รายละเอียดของห่วงโซ่ข้อบกพร่องซึ่งคล้ายกันภายใต้ฝากระโปรงกับ กลุ่ม ProxyShell ของช่องโหว่ Exchange Server. สิ่งนี้ทำให้ Beaumont (@gossithedog) พากย์เชน “ProxyNotShell” พร้อมโลโก้ของตัวเอง.

เขากล่าวในการวิเคราะห์ของเขาเมื่อวันศุกร์ว่าแม้ว่าคุณลักษณะหลายอย่างของข้อบกพร่องจะเหมือนกับ ProxyShell ทุกประการ แต่แพตช์ ProxyShell ไม่สามารถแก้ไขปัญหาได้ นอกจากนี้เขายังตั้งข้อสังเกตอีกว่าในแง่ของพื้นผิวการโจมตี “เซิร์ฟเวอร์ Exchange ที่มีช่องโหว่เกือบหนึ่งในสี่ล้านต้องเผชิญกับอินเทอร์เน็ต ไม่ว่าจะให้หรือรับ”

เขากำหนดสถานการณ์ว่า “ค่อนข้างเสี่ยง” ใน ฟีด Twitterโดยสังเกตว่าการแสวงหาผลประโยชน์ดูเหมือนจะดำเนินไปเป็นเวลาอย่างน้อยหนึ่งเดือน และตอนนี้ข้อบกพร่องก็เปิดเผยต่อสาธารณะ สิ่งต่างๆ อาจ "คลี่คลายลงอย่างรวดเร็ว" นอกจากนี้เขายังตั้งคำถามถึงคำแนะนำในการลดผลกระทบของ Microsoft

“คำแนะนำของฉันคือหยุดนำเสนอ OWA ทางอินเทอร์เน็ตจนกว่าจะมีแพตช์ เว้นแต่ว่าคุณต้องการไปตามเส้นทางการบรรเทาผลกระทบ … แต่นั่นรู้มาประมาณหนึ่งปีแล้ว และเอ๊ะ – มีวิธีอื่นในการใช้ประโยชน์จาก Exchange สำหรับ RCE โดยไม่มี PowerShell” โบมอนต์ทวีต “ตัวอย่างเช่น หากคุณมี SSRF (CVE-2022-41040) แสดงว่าคุณเป็นเทพใน Exchange และสามารถเข้าถึงกล่องจดหมายใดๆ ผ่านทาง EWS ได้ โปรดดูกิจกรรมก่อนหน้า ดังนั้นฉันไม่แน่ใจว่าการบรรเทาผลกระทบจะดำเนินต่อไป”

Microsoft ไม่ตอบสนองต่อคำร้องขอความคิดเห็นโดย Dark Reading ในทันที