ΑρχικήsecurityMicrosoft Exchange: Ο μετριασμός zero-day μπορεί να παρακαμφθεί

Microsoft Exchange: Ο μετριασμός zero-day μπορεί να παρακαμφθεί

Η Microsoft έχει μοιραστεί μετριασμούς για δύο νέα τρωτά σημεία zero-day του Microsoft Exchange, που παρακολουθούνται ως CVE-2022-41040 και CVE-2022-41082, αλλά οι ερευνητές προειδοποιούν ότι ο μετριασμός για διακομιστές εσωτερικής εγκατάστασης απέχει πολύ από το να είναι αρκετός.

Ψεύτικα exploits του Microsoft Exchange ProxyNotShell πωλούνται στο GitHub

Microsoft Exchange

Οι φορείς απειλών εκμεταλλεύονται ήδη και τα δύο αυτά σφάλματα zero-day σε ενεργές επιθέσεις για να παραβιάσουν τους διακομιστές του Microsoft Exchange και να επιτύχουν απομακρυσμένη εκτέλεση κώδικα.

Η Microsoft περιγράφει το CVE-2022-41040 ως μια ευπάθεια υψηλού κινδύνου (8,8/10 βαθμολογία σοβαρότητας) την οποία ένας εισβολέας μπορεί να αξιοποιήσει εύκολα για να αυξήσει τα προνόμιά του στο επηρεαζόμενο μηχάνημα χωρίς καμία αλληλεπίδραση με τον χρήστη.

Το CVE-2022-41082 έχει την ίδια βαθμολογία υψηλής σοβαρότητας, αλλά μπορεί να χρησιμοποιηθεί για απομακρυσμένη εκτέλεση κώδικα σε ευάλωτους διακομιστές Microsoft Exchange εσωτερικής εγκατάστασης από έναν εισβολέα με “προνόμια που παρέχουν βασικές δυνατότητες χρήστη” (ρυθμίσεις και αρχεία που ανήκουν στον χρήστη).

Και τα δύο ελαττώματα ασφαλείας αναφέρθηκαν ιδιωτικά μέσω του προγράμματος Zero Day Initiative πριν από περίπου τρεις εβδομάδες από τη βιετναμέζικη εταιρεία κυβερνοασφάλειας GTSC, η οποία κοινοποίησε τις λεπτομέρειες δημόσια την περασμένη εβδομάδα.

Η Microsoft επιβεβαίωσε τα δύο ζητήματα την Παρασκευή και είπε ότι «γνώριζε περιορισμένες στοχευμένες επιθέσεις» που τα εκμεταλλεύονται.

Ως μέρος μιας συμβουλευτικής, η Microsoft μοιράστηκε μετριασμούς για διακομιστές εσωτερικής εγκατάστασης και μια ισχυρή σύσταση στους πελάτες του Exchange Server να “απενεργοποιήσουν την απομακρυσμένη πρόσβαση PowerShell για χρήστες χωρίς διαχειριστή στον οργανισμό.

Microsoft: Αποσύρει τους κανόνες πρόσβασης στο Exchange Online σε ένα χρόνο

Για να μειώσει τον κίνδυνο εκμετάλλευσης, η Microsoft πρότεινε τον αποκλεισμό των γνωστών μοτίβων επίθεσης μέσω ενός κανόνα στο IIS Manager:

  1. Ανοίξτε το IIS Manager.
  2. Επιλέξτε Προεπιλεγμένη τοποθεσία Web.
  3. Στην προβολή χαρακτηριστικών****, κάντε κλικ στην Επανεγγραφή URL.
  4. Στο παράθυρο Ενέργειες στη δεξιά πλευρά, κάντε κλικ στην Προσθήκη κανόνων….
  5. Επιλέξτε** Αίτημα αποκλεισμού** και κάντε κλικ στο OK.
  6. Προσθέστε τη συμβολοσειρά “.autodiscover.json.*@.*Powershell.” (εξαιρουμένων των εισαγωγικών) και μετά κάντε κλικ στο OK.
  7. Αναπτύξτε τον κανόνα και επιλέξτε τον κανόνα με το μοτίβο “autodiscover.json.*@.*Powershell“. και κάντε κλικ στην Επεξεργασία στην περιοχή Συνθήκες.
  8. Αλλάξτε την εισαγωγή συνθήκης από {URL} σε {REQUEST_URI}
μετριασμός

Οι διαχειριστές μπορούν να επιτύχουν το ίδιο αποτέλεσμα εκτελώντας το ενημερωμένο Εργαλείο Μετριασμού Exchange On-Premises της Microsoft – ένα σενάριο που απαιτεί PowerShell 3 ή νεότερο, πρέπει να εκτελείται με δικαιώματα διαχειριστή και εκτελείται σε IIS 7.5 ή νεότερη έκδοση.

Ο κανόνας που προτείνει η Microsoft ωστόσο, καλύπτει μόνο γνωστές επιθέσεις, επομένως το μοτίβο διεύθυνσης URL περιορίζεται σε αυτές.

Ο ερευνητής ασφάλειας Jang σε ένα tweet δείχνει ότι η προσωρινή λύση της Microsoft για την αποτροπή της εκμετάλλευσης των CVE-2022-41040 και CVE-2022-41082 δεν είναι αποτελεσματική και μπορεί να παρακαμφθεί με λίγη προσπάθεια.

Microsoft: Οι επεκτάσεις IIS χρησιμοποιούνται ως backdoors του Exchange

Αντί για το μπλοκ URL που πρότεινε η Microsoft, ο Jang παρείχε μια λιγότερο συγκεκριμένη εναλλακτική, σχεδιασμένη να καλύπτει ένα ευρύτερο σύνολο επιθέσεων:

.*autodiscover\.json.*Powershell.*

Μέχρι στιγμής, η Microsoft δεν έχει κυκλοφορήσει μια ενημέρωση για την επίλυση των δύο ζητημάτων, αλλά δημοσίευσε συμβουλές ασφαλείας με πληροφορίες σχετικά με τον αντίκτυπο και τις συνθήκες που απαιτούνται για την εκμετάλλευση.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS