I ricercatori di sicurezza GTSC hanno scoperto due nuove vulnerabilità RCE in MS Exchange Server. Esistono già exploit adatti per questo in natura. Microsoft è stata informata delle vulnerabilità e ha commentato "Attualmente Microsoft è a conoscenza di attacchi mirati limitati".
Intorno all'inizio di agosto 2022, mentre conduceva servizi di monitoraggio della sicurezza e risposta agli incidenti, il team SOC di GTSC ha scoperto che un'infrastruttura critica era sotto attacco, in particolare la loro applicazione Microsoft Exchange. Durante l'indagine, gli esperti di GTSC Blue Team hanno stabilito che l'attacco sfruttava una vulnerabilità di Exchange non pubblicata (una vulnerabilità di 0 giorni) e quindi ha immediatamente sviluppato un piano di contenimento temporaneo.
Allo stesso tempo, gli esperti del Red Team hanno iniziato a indagare e risolvere i problemi del codice Exchange decompilato per trovare la vulnerabilità e sfruttare il codice. Grazie all'esperienza di ricerca dell'exploit precedente per Exchange, il tempo di ricerca è stato ridotto, in modo che la vulnerabilità sia stata scoperta rapidamente. La vulnerabilità risulta essere così critica perché consente all'attaccante di eseguire RCE (Remote Code Execution) sul sistema compromesso. GTSC ha immediatamente sottoposto la vulnerabilità alla Zero Day Initiative (ZDI) affinché collabori con Microsoft. Questo è l'unico modo per preparare una patch il più rapidamente possibile. ZDI ha verificato e confermato i due errori i cui valori CVSS sono 8,8 e 6,3. GTSC fornisce una descrizione approssimativa delle vulnerabilità sul proprio sito web.
Microsoft commenta le vulnerabilità
Microsoft ha molto rapidamente ha pubblicato una guida per i clienti sulle vulnerabilità zero-day segnalate in Microsoft Exchange Server. "Microsoft sta indagando su due vulnerabilità zero-day segnalate che interessano Microsoft Exchange Server 2013, 2016 e 2019. La prima vulnerabilità, identificata come CVE-2022-41040, è una vulnerabilità Server-Side Request Forgery (SSRF), mentre la seconda, identificata come CVE-2022-41082, consente l'esecuzione di codice remoto (RCE) quando si utilizza PowerShell per l'attaccante accessibile.
Microsoft è attualmente a conoscenza di attacchi mirati limitati che sfruttano le due vulnerabilità per penetrare nei sistemi degli utenti. In questi attacchi, CVE-2022-41040 può consentire a un utente malintenzionato autenticato di attivare in remoto CVE-2022-41082. Va notato che per sfruttare con successo entrambe le vulnerabilità, è necessario l'accesso autenticato al server Exchange vulnerabile.
Nessuna patch ancora disponibile
Stiamo lavorando su un programma accelerato per una versione di correzione. Fino ad allora, forniamo le linee guida di mitigazione e rilevamento di seguito per aiutare i clienti a proteggersi da questi attacchi.
Altro su Gteltsc.vn