Microsoft, bir gecede bildirilen iki Exchange Server sıfır gün güvenlik açığı için yamaları hızlı bir şekilde takip ediyor, ancak bu arada işletmelerin saldırılara karşı tetikte olması gerekiyor. Bilgisayar devi Cuma günkü güncellemesinde, e-posta sistemine ilk erişim ve ele geçirme için hataları bir araya getiren "sınırlı hedefli saldırılar" gördüğünü söyledi.
Microsoft'a göre kusurlar özellikle Microsoft Exchange Server 2013, 2016 ve 2019'un internete bakan şirket içi sürümlerini etkiliyor. Ancak şunu belirtmekte fayda var ki güvenlik araştırmacısı Kevin Beaumont diyor ki Çevrimiçi örneklerin etkilenmediğini belirten resmi uyarıya rağmen, Exchange hibrit sunucularını Outlook Web Access (OWA) ile çalıştıran Microsoft Exchange Online Müşterileri de risk altındadır. Rapid7'deki ekip bu değerlendirmeyi yineledi.
Hatalar şu şekilde izlenir:
- CVE-2022-41040 (CVSS 8.8), Exchange'deki herhangi bir posta kutusuna erişim sağlayan sunucu tarafı istek sahteciliği (SSRF) güvenlik açığı;
- CVE-2022-41082 (CVSS 6.3), PowerShell saldırganın erişimine açık olduğunda kimliği doğrulanmış uzaktan kod yürütülmesine (RCE) olanak tanır.
Microsoft'un uyarısında, daha da önemlisi, istismar için Exchange Server'a doğrulanmış erişimin gerekli olduğu belirtildi. Beaumont şunları ekledi: "Lütfen, istismarın herhangi bir e-posta kullanıcısı için yönetici olmayan geçerli kimlik bilgilerine ihtiyaç duyduğunu unutmayın."
CVE-2022-41040, CVE-2022-41082 için Yamalar ve Azaltıcı Etkiler
Şu ana kadar herhangi bir yama mevcut değil, ancak Microsoft hataların önceliklerini belirledi ve hızlı bir şekilde düzeltmeleri takip ediyor.
"Bir düzeltme yayınlamak için hızlandırılmış bir zaman çizelgesi üzerinde çalışıyoruz" dedi. Microsoft'tan Cuma tavsiyesi. "O zamana kadar, azaltma ve tespit rehberliğini sağlıyoruz."
Azaltma önlemleri arasında, bilinen saldırı modellerini engellemek için "IIS Yöneticisi -> Varsayılan Web Sitesi -> Otomatik Bulma -> URL Yeniden Yazma -> Eylemler" bölümüne bir engelleme kuralı eklenmesi; ve şirket, tavsiye belgesine URL yeniden yazma talimatlarını ekledi ve bunların "mevcut saldırı zincirlerini kırmada başarılı olduklarını doğruladığını" belirtti.
Ayrıca uyarıda, "güvenlik açığı bulunan Exchange sistemlerinde PowerShell Remoting'e erişebilen kimliği doğrulanmış saldırganlar CVE-2022-41082 kullanarak RCE'yi tetikleyebileceğinden, Remote PowerShell için kullanılan bağlantı noktalarının engellenmesinin saldırıları sınırlandırabileceği" belirtildi.
Körleştirme-Hata Açıklaması
Kusurlar, Vietnamlı güvenlik şirketi GTSC'nin geçen ay Trend Micro'nun Sıfır Gün Girişimi'ne hata raporları gönderdiğini belirten bir blog gönderisinde açıklandı. Tipik olarak bu, Microsoft'un sorumlu bir güvenlik açığını açıklama süreciyle sonuçlanacaktı. Yamanın tamamlanması için 120 gün Bulgular kamuya açıklanmadan önce GTSC'nin, saldırıları gördükten sonra yayınlamaya karar verdiği belirtildi.
GTSC araştırmacıları şunları kaydetti: "Dikkatli testlerden sonra, bu sistemlere bu 0 günlük güvenlik açığı kullanılarak saldırıya uğradığını doğruladık." Perşembe blog yazısı. "Microsoft'tan resmi bir yama çıkmadan önce topluluğun saldırıyı geçici olarak durdurmasına yardımcı olmak için, Microsoft Exchange e-posta sistemini kullanan kuruluşlara yönelik bu makaleyi yayınlıyoruz."
Aynı zamanda, başlık altında benzer olan hata zincirinin ayrıntılı analizini de sundu. ProxyShell grubu Exchange Server güvenlik açıkları. Bu, Beaumont'un (@gossithedog) zinciri "ProxyNotShell" olarak adlandırmasına neden oldu. kendi logosuyla tamamlandı.
Cuma günü yaptığı analizde, hataların pek çok özelliğinin tamamen ProxyShell'e benzemesine rağmen ProxyShell yamalarının sorunu çözmediğini söyledi. Ayrıca saldırı yüzeyi açısından "neredeyse çeyrek milyon savunmasız Exchange sunucusunun internetle karşı karşıya olduğunu" belirtti.
Durumu 'oldukça riskli' olarak niteledi Twitter feed, sömürünün en az bir aydır devam ettiğini ve artık kusurların kamuoyuna açıklanmasıyla işlerin "oldukça hızlı bir şekilde kötüye gidebileceğini" belirtti. Ayrıca Microsoft'un hafifletme rehberliğini de sorguladı.
"Benim tavsiyem, hafifletme yoluna gitmek istemediğiniz sürece, bir yama çıkana kadar OWA'yı internette temsil etmeyi bırakmak olacaktır... ancak bu bir yıldır biliniyor ve eh - Exchange for RCE'den yararlanmanın başka yolları da var PowerShell olmadan,” diye tweet attı Beaumont. "Örneğin, SSRF'niz (CVE-2022-41040) varsa Exchange'de tanrısınızdır ve EWS aracılığıyla herhangi bir posta kutusuna erişebilirsiniz; önceki etkinliğe bakın. Bu nedenle hafifletmenin kalıcı olacağından emin değilim.”
Microsoft, Dark Reading'in yorum talebine hemen yanıt vermedi.
