Há alguns dias, duas novas vulnerabilidades do Microsoft Exchange Server se tornaram conhecidas e estão sendo exploradas ativamente em uma série de ataques direcionados. A Microsoft ainda não pode oferecer um patch para as vulnerabilidades - apenas um guia do cliente.
A primeira vulnerabilidade, CVE-2022-41040, é uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) que essencialmente abre a porta para invasores obterem acesso ao Exchange Server. A segunda vulnerabilidade, CVE_2022-41082, permite a execução remota de código (RCE) via PowerShell uma vez no servidor. A empresa vietnamita GTSC também publicou várias informações sobre as vulnerabilidades.
Os especialistas da Sophos investigaram as vulnerabilidades
Essa cadeia de ataques é semelhante aos ataques ProxyShell do ano passado e, como nos ataques do ano passado, o setor de segurança está preparado para a exploração dessas vulnerabilidades agora que são de conhecimento público. Para saber mais sobre essas vulnerabilidades, há uma postagem no blog Sophos X-Ops com explicações técnicas. Além disso, Chester Wisniewski, principal pesquisador da Sophos, compartilha dicas sobre como proteger os sistemas até que a Microsoft tenha preparado o patch para essas vulnerabilidades (atualmente existe um guia do cliente).
Chester Wisniewski, principal cientista de pesquisa da Sophos: “Depois que a Microsoft confirmou duas novas vulnerabilidades de dia zero no Microsoft Exchange na sexta-feira, os pesquisadores de segurança investigaram o impacto potencial e o que fazer para se proteger contra a exploração. No momento em que este livro foi escrito, apenas um número extremamente pequeno de vítimas foi afetado por essa vulnerabilidade."
Ainda não há patches disponíveis
“Isso nos dá algum tempo para implementar correções e nos preparar para patches assim que a Microsoft os disponibilizar. Para clientes do Exchange que estão atualizados com os patches e atualizações de setembro de 2022, a Microsoft implementou uma regra de reescrita de URL como uma mitigação contra o ataque conhecido para impedir que funcione. Infelizmente, contornar esse nerf provou ser trivial, então todos ainda estamos aguardando um patch oficial. As equipes de TI devem se preparar para aplicar o patch o mais rápido possível após o lançamento.”
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.