Η Microsoft έχει μοιραστεί μετριασμούς για δύο νέα τρωτά σημεία zero-day του Microsoft Exchange, που παρακολουθούνται ως CVE-2022-41040 και CVE-2022-41082, αλλά οι ερευνητές προειδοποιούν ότι ο μετριασμός για διακομιστές εσωτερικής εγκατάστασης απέχει πολύ από το να είναι αρκετός.
Ψεύτικα exploits του Microsoft Exchange ProxyNotShell πωλούνται στο GitHub
Οι φορείς απειλών εκμεταλλεύονται ήδη και τα δύο αυτά σφάλματα zero-day σε ενεργές επιθέσεις για να παραβιάσουν τους διακομιστές του Microsoft Exchange και να επιτύχουν απομακρυσμένη εκτέλεση κώδικα.
Η Microsoft περιγράφει το CVE-2022-41040 ως μια ευπάθεια υψηλού κινδύνου (8,8/10 βαθμολογία σοβαρότητας) την οποία ένας εισβολέας μπορεί να αξιοποιήσει εύκολα για να αυξήσει τα προνόμιά του στο επηρεαζόμενο μηχάνημα χωρίς καμία αλληλεπίδραση με τον χρήστη.
Η CISA προειδοποιεί για κρίσιμα ελαττώματα σε συστήματα ICS
NASA: Τηλεσκόπια απαθανάτισαν γαλαξίες που μοιάζουν με μάτια
Οι hackers Andariel χρησιμοποιούν τo Play Ransomware;
Το CVE-2022-41082 έχει την ίδια βαθμολογία υψηλής σοβαρότητας, αλλά μπορεί να χρησιμοποιηθεί για απομακρυσμένη εκτέλεση κώδικα σε ευάλωτους διακομιστές Microsoft Exchange εσωτερικής εγκατάστασης από έναν εισβολέα με “προνόμια που παρέχουν βασικές δυνατότητες χρήστη” (ρυθμίσεις και αρχεία που ανήκουν στον χρήστη).
Και τα δύο ελαττώματα ασφαλείας αναφέρθηκαν ιδιωτικά μέσω του προγράμματος Zero Day Initiative πριν από περίπου τρεις εβδομάδες από τη βιετναμέζικη εταιρεία κυβερνοασφάλειας GTSC, η οποία κοινοποίησε τις λεπτομέρειες δημόσια την περασμένη εβδομάδα.
Η Microsoft επιβεβαίωσε τα δύο ζητήματα την Παρασκευή και είπε ότι «γνώριζε περιορισμένες στοχευμένες επιθέσεις» που τα εκμεταλλεύονται.
Ως μέρος μιας συμβουλευτικής, η Microsoft μοιράστηκε μετριασμούς για διακομιστές εσωτερικής εγκατάστασης και μια ισχυρή σύσταση στους πελάτες του Exchange Server να “απενεργοποιήσουν την απομακρυσμένη πρόσβαση PowerShell για χρήστες χωρίς διαχειριστή στον οργανισμό.“
Microsoft: Αποσύρει τους κανόνες πρόσβασης στο Exchange Online σε ένα χρόνο
Για να μειώσει τον κίνδυνο εκμετάλλευσης, η Microsoft πρότεινε τον αποκλεισμό των γνωστών μοτίβων επίθεσης μέσω ενός κανόνα στο IIS Manager:
- Ανοίξτε το IIS Manager.
- Επιλέξτε Προεπιλεγμένη τοποθεσία Web.
- Στην προβολή χαρακτηριστικών****, κάντε κλικ στην Επανεγγραφή URL.
- Στο παράθυρο Ενέργειες στη δεξιά πλευρά, κάντε κλικ στην Προσθήκη κανόνων….
- Επιλέξτε** Αίτημα αποκλεισμού** και κάντε κλικ στο OK.
- Προσθέστε τη συμβολοσειρά “.autodiscover.json.*@.*Powershell.” (εξαιρουμένων των εισαγωγικών) και μετά κάντε κλικ στο OK.
- Αναπτύξτε τον κανόνα και επιλέξτε τον κανόνα με το μοτίβο “autodiscover.json.*@.*Powershell“. και κάντε κλικ στην Επεξεργασία στην περιοχή Συνθήκες.
- Αλλάξτε την εισαγωγή συνθήκης από {URL} σε {REQUEST_URI}
Οι διαχειριστές μπορούν να επιτύχουν το ίδιο αποτέλεσμα εκτελώντας το ενημερωμένο Εργαλείο Μετριασμού Exchange On-Premises της Microsoft – ένα σενάριο που απαιτεί PowerShell 3 ή νεότερο, πρέπει να εκτελείται με δικαιώματα διαχειριστή και εκτελείται σε IIS 7.5 ή νεότερη έκδοση.
Ο κανόνας που προτείνει η Microsoft ωστόσο, καλύπτει μόνο γνωστές επιθέσεις, επομένως το μοτίβο διεύθυνσης URL περιορίζεται σε αυτές.
Ο ερευνητής ασφάλειας Jang σε ένα tweet δείχνει ότι η προσωρινή λύση της Microsoft για την αποτροπή της εκμετάλλευσης των CVE-2022-41040 και CVE-2022-41082 δεν είναι αποτελεσματική και μπορεί να παρακαμφθεί με λίγη προσπάθεια.
Microsoft: Οι επεκτάσεις IIS χρησιμοποιούνται ως backdoors του Exchange
Αντί για το μπλοκ URL που πρότεινε η Microsoft, ο Jang παρείχε μια λιγότερο συγκεκριμένη εναλλακτική, σχεδιασμένη να καλύπτει ένα ευρύτερο σύνολο επιθέσεων:
.*autodiscover\.json.*Powershell.*
Μέχρι στιγμής, η Microsoft δεν έχει κυκλοφορήσει μια ενημέρωση για την επίλυση των δύο ζητημάτων, αλλά δημοσίευσε συμβουλές ασφαλείας με πληροφορίες σχετικά με τον αντίκτυπο και τις συνθήκες που απαιτούνται για την εκμετάλλευση.