GTSC のセキュリティ研究者は、MS Exchange Server に XNUMX つの新しい RCE 脆弱性を発見しました。 これに適したエクスプロイトがすでに実際に存在しています。 Microsoft は脆弱性を通知され、「現在、Microsoft は限定的な標的型攻撃を認識しています」とコメントしています。
2022 年 0 月初旬頃、GTSC SOC チームは、セキュリティ監視とインシデント対応サービスを実施しているときに、重要なインフラストラクチャ、特に Microsoft Exchange アプリケーションが攻撃を受けていることを発見しました。 調査中に、GTSC ブルー チームの専門家は、攻撃が未公開の Exchange の脆弱性 (ゼロデイ脆弱性) を悪用したものであると判断したため、すぐに一時的な封じ込め計画を策定しました。
同時に、レッド チームの専門家は、脆弱性とエクスプロイト コードを見つけるために、逆コンパイルされた Exchange コードの調査とトラブルシューティングを開始しました。 Exchange の以前のエクスプロイトを発見した経験のおかげで、調査時間が短縮され、脆弱性が迅速に発見されました。 この脆弱性は、侵害されたシステムで攻撃者が RCE (リモート コード実行) を実行できるため、非常に重大であることが判明しました。 GTSC は、Microsoft と連携するために、Zero Day Initiative (ZDI) に脆弱性をすぐに提出しました。 これがパッチをできるだけ早く準備する唯一の方法です。 ZDI は、CVSS 値が 8,8 と 6,3 である XNUMX つのエラーを検証して確認しました。 GTSC は、その Web サイトで脆弱性のおおよその説明を提供しています。
脆弱性に関する Microsoft のコメント
マイクロソフトは非常に迅速に Microsoft Exchange Server で報告されたゼロデイ脆弱性に関するカスタマー ガイドを公開しました. 「Microsoft は、Microsoft Exchange Server 2013、2016、および 2019 に影響を与える、報告された 2022 つのゼロデイ脆弱性を調査しています。 CVE-41040-2022 として識別される最初の脆弱性は、サーバー側のリクエスト フォージェリ (SSRF) の脆弱性であり、CVE-41082-XNUMX として識別される XNUMX 番目の脆弱性は、攻撃者が PowerShell を使用している場合にリモート コード実行 (RCE) を可能にします。アクセス可能。
Microsoft は現在、2022 つの脆弱性を悪用してユーザーのシステムに侵入する限定的な標的型攻撃を認識しています。 これらの攻撃では、CVE-41040-2022 により、認証された攻撃者がリモートで CVE-41082-XNUMX をトリガーできる可能性があります。 いずれかの脆弱性を悪用するには、脆弱な Exchange サーバーへの認証済みアクセスが必要であることに注意してください。
利用可能なパッチはまだありません
修正リリースのスケジュールを早める作業を進めています。 それまでは、お客様がこれらの攻撃から保護できるように、以下の緩和と検出のガイダンスを提供します。」
詳細は Gteltsc.vn で