Кілька днів тому стало відомо про дві нові уразливості Microsoft Exchange Server, які активно використовуються в серії цілеспрямованих атак. Корпорація Майкрософт поки що не може запропонувати виправлення для уразливостей – лише посібник користувача.
Перша вразливість, CVE-2022-41040, є уразливістю підробки запитів на стороні сервера (SSRF), яка по суті відкриває двері для зловмисників, щоб отримати доступ до Exchange Server. Друга вразливість, CVE_2022-41082, дозволяє віддалене виконання коду (RCE) через PowerShell один раз на сервері. В'єтнамська компанія GTSC також опублікувала різну інформацію про вразливості.
Фахівці Sophos дослідили вразливості
Цей ланцюжок атак схожий на минулорічні атаки ProxyShell, і, як і минулорічні атаки, індустрія безпеки готова до використання цих уразливостей тепер, коли вони загальновідомі. Щоб дізнатися більше про ці вразливості, є публікація блогу Sophos X-Ops із технічними поясненнями. Крім того, Честер Вишневскі, головний науковий співробітник Sophos, ділиться порадами щодо захисту систем доки Microsoft не підготує виправлення для цих вразливостей (наразі є посібник користувача).
Честер Вишневскі, головний науковий співробітник Sophos: «Після того, як у п’ятницю корпорація Майкрософт підтвердила наявність двох нових уразливостей нульового дня в Microsoft Exchange, дослідники безпеки досліджували потенційний вплив і те, що робити для захисту від експлуатації. На момент написання цієї статті відомо, що ця вразливість стосується лише надзвичайно невеликої кількості жертв».
Досі немає доступних патчів
«Це виграє у нас час на впровадження виправлень і підготовку до виправлень, щойно Microsoft зробить їх доступними. Для клієнтів Exchange, які мають виправлення та оновлення за вересень 2022 року, корпорація Майкрософт запровадила правило перезапису URL-адреси як засіб пом’якшення відомої атаки, щоб запобігти її роботі. На жаль, обійти цей нерв виявився тривіальним, тому ми всі досі чекаємо на офіційний патч. Команди ІТ повинні підготуватися до застосування патча якомога швидше після випуску».
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.