Les chercheurs en sécurité du GTSC ont découvert deux nouvelles vulnérabilités RCE dans MS Exchange Server. Il existe déjà des exploits appropriés pour cela dans la nature. Microsoft a été informé des vulnérabilités et a commenté "Actuellement, Microsoft est au courant d'attaques ciblées limitées".
Vers début août 2022, alors qu'elle effectuait des services de surveillance de la sécurité et de réponse aux incidents, l'équipe GTSC SOC a découvert qu'une infrastructure critique était attaquée, en particulier son application Microsoft Exchange. Au cours de l'enquête, les experts de la GTSC Blue Team ont déterminé que l'attaque exploitait une vulnérabilité Exchange non publiée (une vulnérabilité 0-day) et ont donc immédiatement développé un plan de confinement temporaire.
Dans le même temps, les experts de Red Team ont commencé à enquêter et à dépanner le code Exchange décompilé pour trouver la vulnérabilité et le code d'exploitation. Grâce à l'expérience de la recherche de l'exploit précédent pour Exchange, le temps de recherche a été réduit, de sorte que la vulnérabilité a été rapidement découverte. La vulnérabilité s'avère si critique car elle permet à l'attaquant d'effectuer RCE (Remote Code Execution) sur le système compromis. GTSC a immédiatement soumis la vulnérabilité à la Zero Day Initiative (ZDI) pour travailler avec Microsoft. C'est le seul moyen de préparer un patch le plus rapidement possible. ZDI a vérifié et confirmé les deux erreurs dont les valeurs CVSS sont de 8,8 et 6,3. GTSC fournit une description approximative des vulnérabilités sur son site Web.
Microsoft commente les vulnérabilités
Microsoft a très rapidement a publié un guide client sur les vulnérabilités zero-day signalées dans Microsoft Exchange Server. « Microsoft enquête sur deux vulnérabilités zero-day signalées affectant Microsoft Exchange Server 2013, 2016 et 2019. La première vulnérabilité, identifiée comme CVE-2022-41040, est une vulnérabilité Server-Side Request Forgery (SSRF), tandis que la seconde, identifiée comme CVE-2022-41082, permet l'exécution de code à distance (RCE) lors de l'utilisation de PowerShell pour l'attaquant. accessible.
Microsoft a actuellement connaissance d'attaques ciblées limitées qui exploitent les deux vulnérabilités pour pénétrer les systèmes des utilisateurs. Dans ces attaques, CVE-2022-41040 peut permettre à un attaquant authentifié de déclencher à distance CVE-2022-41082. Il convient de noter que pour exploiter avec succès l'une ou l'autre vulnérabilité, un accès authentifié au serveur Exchange vulnérable est requis.
Aucun patch disponible pour le moment
Nous travaillons sur un calendrier accéléré pour une version de correctif. D'ici là, nous fournissons les conseils d'atténuation et de détection ci-dessous pour aider les clients à se protéger contre ces attaques. »
Plus sur Gteltsc.vn