Дослідники безпеки GTSC виявили дві нові вразливості RCE в MS Exchange Server. У дикій природі вже є відповідні експлойти для цього. Корпорацію Майкрософт повідомили про вразливості та прокоментували: «Наразі корпорації Майкрософт відомо про обмежені цільові атаки».
Приблизно на початку серпня 2022 року під час моніторингу безпеки та служб реагування на інциденти команда GTSC SOC виявила, що критична інфраструктура зазнала атаки, зокрема їхній додаток Microsoft Exchange. Під час розслідування експерти GTSC Blue Team визначили, що атака використовувала неопубліковану вразливість Exchange (вразливість 0 днів), і тому негайно розробили план тимчасового стримування.
У той же час експерти Red Team почали дослідження та усунення несправностей декомпільованого коду Exchange, щоб знайти вразливість і код експлойту. Завдяки досвіду пошуку попереднього експлойта для Exchange час дослідження скоротився, завдяки чому вразливість була швидко виявлена. Уразливість виявляється настільки критичною, оскільки дозволяє зловмиснику виконувати RCE (віддалене виконання коду) у скомпрометованій системі. GTSC негайно передав уразливість Zero Day Initiative (ZDI) для співпраці з Microsoft. Тільки так можна якомога швидше підготувати пластир. ZDI перевірив і підтвердив дві помилки, значення CVSS яких становлять 8,8 і 6,3. GTSC надає приблизний опис вразливостей на своєму веб-сайті.
Microsoft коментує вразливості
Microsoft дуже швидко опублікував посібник для клієнтів щодо вразливостей нульового дня в Microsoft Exchange Server. «Microsoft розслідує дві зареєстровані вразливості нульового дня, що впливають на Microsoft Exchange Server 2013, 2016 і 2019. Перша вразливість, ідентифікована як CVE-2022-41040, є уразливістю підробки запитів на стороні сервера (SSRF), а друга, ідентифікована як CVE-2022-41082, дозволяє віддалене виконання коду (RCE) під час використання PowerShell для зловмисника. доступний.
Microsoft наразі відомо про обмежені цільові атаки, які використовують дві вразливості для проникнення в системи користувачів. У цих атаках CVE-2022-41040 може дозволити автентифікованому зловмиснику віддалено запустити CVE-2022-41082. Слід зазначити, що для успішного використання будь-якої вразливості потрібен автентифікований доступ до вразливого сервера Exchange.
Патчів ще немає
Ми працюємо за прискореним графіком випуску виправлень. До того часу ми надаємо наведені нижче вказівки щодо запобігання та виявлення, щоб допомогти клієнтам захиститися від цих атак».
Більше на Gteltsc.vn