GTSC güvenlik araştırmacıları, MS Exchange Server'da iki yeni RCE güvenlik açığı keşfetti. Vahşi doğada bunun için uygun istismarlar zaten var. Microsoft güvenlik açıklarından haberdar edildi ve "Şu anda Microsoft sınırlı hedefli saldırıların farkındadır" yorumunu yaptı.
Ağustos 2022'nin başlarında, güvenlik izleme ve olay müdahale hizmetlerini yürütürken GTSC SOC ekibi, özellikle Microsoft Exchange uygulamaları olmak üzere kritik bir altyapının saldırı altında olduğunu keşfetti. Araştırma sırasında GTSC Blue Team uzmanları, saldırının yayınlanmamış bir Exchange güvenlik açığından (0 günlük bir güvenlik açığı) yararlandığını belirledi ve bu nedenle hemen bir geçici kontrol planı geliştirdi.
Aynı zamanda Red Team uzmanları, güvenlik açığını ve açıktan yararlanma kodunu bulmak için derlenmiş Exchange kodunu araştırmaya ve sorun gidermeye başladı. Exchange için önceki açıkları bulma deneyimi sayesinde araştırma süresi kısaldı, böylece güvenlik açığı hızla keşfedildi. Güvenlik açığı, saldırganın güvenliği ihlal edilmiş sistemde RCE (Uzaktan Kod Yürütme) gerçekleştirmesine izin verdiği için çok kritik hale geliyor. GTSC, güvenlik açığını Microsoft ile çalışması için hemen Zero Day Initiative'e (ZDI) bildirdi. Bir yamayı olabildiğince çabuk hazırlamanın tek yolu budur. ZDI, CVSS değerleri 8,8 ve 6,3 olan iki hatayı doğruladı ve onayladı. GTSC, web sitesinde güvenlik açıklarının yaklaşık bir açıklamasını sağlar.
Microsoft güvenlik açıkları hakkında yorum yapıyor
Microsoft çok hızlı Microsoft Exchange Server'da bildirilen sıfır gün güvenlik açıkları için bir müşteri kılavuzu yayınladı. “Microsoft, Microsoft Exchange Server 2013, 2016 ve 2019'u etkileyen bildirilen iki sıfır gün güvenlik açığını araştırıyor. CVE-2022-41040 olarak tanımlanan ilk güvenlik açığı, bir Sunucu Tarafı İstek Sahtekarlığı (SSRF) güvenlik açığı iken, CVE-2022-41082 olarak tanımlanan ikincisi, saldırgan için PowerShell kullanıldığında Uzaktan Kod Yürütmeye (RCE) izin verir. erişilebilir.
Microsoft şu anda, kullanıcıların sistemlerine sızmak için iki güvenlik açığından yararlanan sınırlı hedefli saldırıların farkındadır. Bu saldırılarda, CVE-2022-41040, kimliği doğrulanmış bir saldırganın CVE-2022-41082'yi uzaktan tetiklemesine izin verebilir. Her iki güvenlik açığından da başarıyla yararlanmak için güvenlik açığı bulunan Exchange sunucusuna kimliği doğrulanmış erişimin gerekli olduğu unutulmamalıdır.
Henüz kullanılabilir yama yok
Bir düzeltme sürümü için hızlandırılmış bir program üzerinde çalışıyoruz. O zamana kadar, müşterilerin bu saldırılara karşı koruma sağlamasına yardımcı olmak için aşağıdaki etki azaltma ve algılama kılavuzunu sağlıyoruz."
Gteltsc.vn'de daha fazlası