GTSC सुरक्षा शोधकर्ताओं ने MS Exchange सर्वर में दो नई RCE कमजोरियों की खोज की है। जंगली में इसके लिए पहले से ही उपयुक्त कारनामे मौजूद हैं। Microsoft को कमजोरियों के बारे में सूचित किया गया था और टिप्पणी की गई थी "वर्तमान में Microsoft सीमित लक्षित हमलों से अवगत है"।
अगस्त 2022 की शुरुआत में, सुरक्षा निगरानी और घटना प्रतिक्रिया सेवाओं का संचालन करते हुए, GTSC SOC टीम ने पाया कि एक महत्वपूर्ण बुनियादी ढांचा, विशेष रूप से उनके Microsoft Exchange एप्लिकेशन पर हमला किया जा रहा था। जांच के दौरान, GTSC ब्लू टीम के विशेषज्ञों ने निर्धारित किया कि हमले ने एक अप्रकाशित एक्सचेंज भेद्यता (0-दिन की भेद्यता) का शोषण किया और इसलिए तुरंत एक अस्थायी नियंत्रण योजना विकसित की।
उसी समय, रेड टीम के विशेषज्ञों ने भेद्यता और शोषण कोड को खोजने के लिए विघटित एक्सचेंज कोड की जांच और समस्या निवारण शुरू किया। एक्सचेंज के पिछले शोषण को खोजने के अनुभव के लिए धन्यवाद, अनुसंधान का समय कम हो गया था, ताकि भेद्यता जल्दी से खोजी जा सके। भेद्यता इतनी महत्वपूर्ण हो जाती है क्योंकि यह हमलावर को समझौता प्रणाली पर आरसीई (रिमोट कोड निष्पादन) करने की अनुमति देती है। जीटीएससी ने माइक्रोसॉफ्ट के साथ काम करने के लिए तुरंत जीरो डे इनिशिएटिव (जेडडीआई) को भेद्यता प्रस्तुत की। जितनी जल्दी हो सके एक पैच तैयार करने का यही एकमात्र तरीका है। ZDI ने उन दो त्रुटियों की पुष्टि और पुष्टि की है जिनके CVSS मान 8,8 और 6,3 हैं। जीटीएससी अपनी वेबसाइट पर कमजोरियों का अनुमानित विवरण प्रदान करता है।
Microsoft कमजोरियों पर टिप्पणी करता है
माइक्रोसॉफ्ट ने बहुत तेजी से Microsoft Exchange सर्वर में रिपोर्ट की गई शून्य-दिन की कमजोरियों के लिए एक ग्राहक मार्गदर्शिका प्रकाशित की. “Microsoft Microsoft Exchange सर्वर 2013, 2016 और 2019 को प्रभावित करने वाली दो शून्य-दिन की कमजोरियों की जांच कर रहा है। CVE-2022-41040 के रूप में पहचानी जाने वाली पहली भेद्यता, एक सर्वर-साइड अनुरोध जालसाजी (SSRF) भेद्यता है, जबकि दूसरी, CVE-2022-41082 के रूप में पहचानी गई, हमलावर के लिए PowerShell का उपयोग करते समय रिमोट कोड निष्पादन (RCE) की अनुमति देती है पहुंच योग्य।
Microsoft वर्तमान में सीमित लक्षित हमलों से अवगत है जो उपयोगकर्ताओं के सिस्टम में घुसने के लिए दो कमजोरियों का फायदा उठाते हैं। इन हमलों में, CVE-2022-41040 एक प्रमाणित हमलावर को दूरस्थ रूप से CVE-2022-41082 ट्रिगर करने की अनुमति दे सकता है। यह ध्यान दिया जाना चाहिए कि भेद्यता का सफलतापूर्वक दोहन करने के लिए, असुरक्षित एक्सचेंज सर्वर तक प्रमाणित पहुंच की आवश्यकता है।
अभी तक कोई पैच उपलब्ध नहीं है
हम फिक्स रिलीज के लिए त्वरित शेड्यूल पर काम कर रहे हैं। तब तक, हम ग्राहकों को इन हमलों से बचाने में मदद करने के लिए शमन और पहचान मार्गदर्शन प्रदान कर रहे हैं।
Gteltsc.vn पर अधिक