Еще больше эксплойтов нулевого дня Microsoft Exchange

3 октября 2022 г.

Компания подтвердила, что еще две уязвимости нулевого дня, обнаруженные в разных версиях Microsoft Exchange Server, используются в дикой природе.

Согласно недавнему руководству для клиентов, которое Microsoft выпустила для зарегистрированных нулевых дней, Уязвимость, связанная с подделкой запросов на стороне сервера (SSRF) и удаленным выполнением кода (RCE), была идентифицирована как используемая злоумышленниками.

Эти уязвимости присутствовали в Microsoft Exchange Server 2013, 2016 и 2019 < a href="https://www.techradar.com/news/best-endpoint-security-software" target="_blank">конечные точки.

Связанные недостатки

«Первая уязвимость, идентифицированная как CVE-2022-41040, представляет собой уязвимость подделки запросов на стороне сервера (SSRF), а вторая, идентифицированная как CVE-2022-41082, позволяет удаленное выполнение кода (RCE), когда PowerShell доступным для злоумышленника», — пояснили в Microsoft. «В настоящее время Microsoft известно об ограниченных целевых атаках с использованием двух уязвимостей для проникновения в системы пользователей».

Однако использовать уязвимость SSRF не так просто, поскольку атаку можно отключено злоумышленниками, которые были аутентифицированы целевой системой. Только тогда они смогут использовать недостаток RCE.

Более того, пользователи Exchange Online не подвергаются никаким рискам, подтвердила компания, поскольку ее команда безопасности уже разместила средства обнаружения и устранения угроз.

«Microsoft также отслеживает эти уже развернутые средства обнаружения вредоносной активности и предпримет необходимые ответные действия для защиты клиентов», — добавили в компании. «Мы работаем над сокращением сроков выпуска исправления».

Хотя Microsoft не сообщила, кто может использовать эти уязвимости прямо сейчас, BleepingComputer обнаружил, что GTSC, вьетнамская фирма по кибербезопасности, возлагает вину на китайского злоумышленника. Судя по всему, нулевые дни использовались для развертывания веб-оболочек China Chopper для обеспечения устойчивости, а также для кражи данных. Эта же компания также опубликовала меры по смягчению последствий, которые впоследствии подтвердила Microsoft.

«Локальные клиенты Microsoft Exchange должны просмотреть и применить следующие инструкции по перезаписи URL-адресов и заблокировать открытые порты Remote PowerShell», — говорится в сообщении Microsoft. «Текущий способ устранения заключается в добавлении правила блокировки в «Диспетчер IIS -> Веб-сайт по умолчанию -> Автообнаружение -> Перезапись URL-адресов -> Действия», чтобы блокировать известные шаблоны атак».

• Познакомьтесь с лучшими брандмауэрами

Через: BleepingComputer

---

Оригинал