Os pesquisadores de segurança da GTSC descobriram duas novas vulnerabilidades RCE no MS Exchange Server. Já existem explorações adequadas para isso na natureza. A Microsoft foi notificada sobre as vulnerabilidades e comentou “Atualmente, a Microsoft está ciente de ataques direcionados limitados”.
Por volta do início de agosto de 2022, enquanto conduzia serviços de monitoramento de segurança e resposta a incidentes, a equipe GTSC SOC descobriu que uma infraestrutura crítica estava sob ataque, especificamente seu aplicativo Microsoft Exchange. Durante a investigação, os especialistas do GTSC Blue Team determinaram que o ataque explorou uma vulnerabilidade não publicada do Exchange (uma vulnerabilidade de 0 dia) e, portanto, desenvolveu imediatamente um plano de contenção temporária.
Ao mesmo tempo, os especialistas da Red Team começaram a investigar e solucionar problemas do código Exchange descompilado para encontrar a vulnerabilidade e explorar o código. Graças à experiência de encontrar o exploit anterior para o Exchange, o tempo de pesquisa foi reduzido, de modo que a vulnerabilidade foi descoberta rapidamente. A vulnerabilidade acaba sendo tão crítica porque permite que o invasor execute RCE (Remote Code Execution) no sistema comprometido. A GTSC imediatamente enviou a vulnerabilidade à Zero Day Initiative (ZDI) para trabalhar com a Microsoft. Esta é a única maneira de preparar um patch o mais rápido possível. A ZDI verificou e confirmou os dois erros cujos valores CVSS são 8,8 e 6,3. O GTSC fornece uma descrição aproximada das vulnerabilidades em seu site.
Comentários da Microsoft sobre as vulnerabilidades
A Microsoft rapidamente publicou um guia do cliente para as vulnerabilidades de dia zero relatadas no Microsoft Exchange Server. “A Microsoft está investigando duas vulnerabilidades de dia zero relatadas que afetam o Microsoft Exchange Server 2013, 2016 e 2019. A primeira vulnerabilidade, identificada como CVE-2022-41040, é uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF), enquanto a segunda, identificada como CVE-2022-41082, permite a execução remota de código (RCE) ao usar o PowerShell para o invasor. acessível.
Atualmente, a Microsoft está ciente de ataques direcionados limitados que exploram as duas vulnerabilidades para penetrar nos sistemas dos usuários. Nesses ataques, o CVE-2022-41040 pode permitir que um invasor autenticado acione remotamente o CVE-2022-41082. Deve-se observar que, para explorar com êxito qualquer uma das vulnerabilidades, é necessário acesso autenticado ao servidor vulnerável do Exchange.
Ainda não há patches disponíveis
Estamos trabalhando em um cronograma acelerado para um lançamento de correção. Até então, estamos fornecendo as orientações de mitigação e detecção abaixo para ajudar os clientes a se protegerem contra esses ataques.”
Mais em Gteltsc.vn