Il y a quelques jours, deux nouvelles vulnérabilités de Microsoft Exchange Server ont été connues et sont activement exploitées dans une série d'attaques ciblées. Microsoft ne peut pas encore proposer de correctif pour les vulnérabilités - uniquement un guide client.
La première vulnérabilité, CVE-2022-41040, est une vulnérabilité SSRF (Server-Side Request Forgery) qui ouvre essentiellement la porte aux attaquants pour accéder au serveur Exchange. La deuxième vulnérabilité, CVE_2022-41082, permet l'exécution de code à distance (RCE) via PowerShell une fois sur le serveur. La société vietnamienne GTSC a également publié diverses informations sur les vulnérabilités.
Les experts Sophos ont enquêté sur les vulnérabilités
Cette chaîne d'attaques est similaire aux attaques ProxyShell de l'année dernière, et comme pour les attaques de l'année dernière, l'industrie de la sécurité est prête à exploiter ces vulnérabilités maintenant qu'elles sont de notoriété publique. Pour en savoir plus sur ces vulnérabilités, il existe un article de blog Sophos X-Ops avec des explications techniques. De plus, Chester Wisniewski, chercheur scientifique principal chez Sophos, partage des conseils sur la façon de protéger les systèmes jusqu'à ce que Microsoft ait préparé le correctif pour ces vulnérabilités (il existe actuellement un guide client).
Chester Wisniewski, chercheur scientifique principal chez Sophos : « Après que Microsoft a confirmé vendredi deux nouvelles vulnérabilités zero-day dans Microsoft Exchange, les chercheurs en sécurité ont étudié l'impact potentiel et ce qu'il faut faire pour se protéger contre l'exploitation. Au moment d'écrire ces lignes, seul un très petit nombre de victimes sont connues pour être touchées par cette vulnérabilité.
Toujours pas de correctifs disponibles
« Cela nous fait gagner du temps pour implémenter les correctifs et nous préparer aux correctifs dès que Microsoft les met à disposition. Pour les clients Exchange qui sont à jour avec les correctifs et les mises à jour de septembre 2022, Microsoft a mis en place une règle de réécriture d'URL comme atténuation contre l'attaque connue pour l'empêcher de fonctionner. Malheureusement, contourner ce nerf s'est avéré trivial, nous attendons donc toujours un patch officiel. Les équipes informatiques doivent se préparer à appliquer le correctif dès que possible après sa sortie. »
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.