Pochi giorni fa, due nuove vulnerabilità di Microsoft Exchange Server sono diventate note e vengono attivamente sfruttate in una serie di attacchi mirati. Microsoft non può ancora offrire una patch per le vulnerabilità, solo una guida per il cliente.
La prima vulnerabilità, CVE-2022-41040, è una vulnerabilità SSRF (Server-Side Request Forgery) che essenzialmente apre la porta agli aggressori per ottenere l'accesso a Exchange Server. La seconda vulnerabilità, CVE_2022-41082, consente l'esecuzione di codice in modalità remota (RCE) tramite PowerShell una volta sul server. Anche la società vietnamita GTSC ha pubblicato varie informazioni sulle vulnerabilità.
Gli esperti di Sophos hanno studiato le vulnerabilità
Questa catena di attacchi è simile agli attacchi ProxyShell dell'anno scorso e, come per gli attacchi dell'anno scorso, il settore della sicurezza è pronto a sfruttare queste vulnerabilità ora che sono di dominio pubblico. Per saperne di più su queste vulnerabilità, è disponibile un post sul blog di Sophos X-Ops con spiegazioni tecniche. Inoltre, Chester Wisniewski, Principal Research Scientist di Sophos, condivide suggerimenti su come proteggere i sistemi fino a quando Microsoft non avrà preparato la patch per queste vulnerabilità (attualmente esiste una guida per il cliente).
Chester Wisniewski, Principal Research Scientist di Sophos: “Dopo che Microsoft ha confermato venerdì due nuove vulnerabilità zero-day in Microsoft Exchange, i ricercatori di sicurezza hanno studiato il potenziale impatto e cosa fare per proteggersi dallo sfruttamento. Al momento della stesura di questo documento, solo un numero estremamente ridotto di vittime è noto per essere influenzato da questa vulnerabilità".
Ancora nessuna patch disponibile
“Questo fa guadagnare a tutti noi un po' di tempo per implementare le correzioni e prepararci per le patch non appena Microsoft le renderà disponibili. Per i clienti di Exchange che sono aggiornati con le patch e gli aggiornamenti di settembre 2022, Microsoft ha implementato una regola di riscrittura dell'URL come mitigazione contro l'attacco noto per impedirne il funzionamento. Sfortunatamente, aggirare questo nerf si è rivelato banale, quindi stiamo ancora aspettando una patch ufficiale. I team IT dovrebbero prepararsi ad applicare la patch il prima possibile dopo il rilascio".
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.