Két új Microsoft Exchange zero-day sebezhetőségre derült fény

kami911 képe
Beküldte kami911 -

A GTSC nevű vietnámi kiberbiztonsági cég két nulladik napi hibát azonosított Micrososft Exchange levelezőszerverekben, amelyeket fenyegetési szereplők támadások során aktívan ki is használnak. A hibákhoz a gyártó még nem adott ki biztonsági frissítést, Exchange adminok számára javasolt a leírásban található megkerülő megoldások alkalmazása.

Mit tudni a sebezhetőségekről?

A GTSC szerint a hibák sikeres kihasználása alkalmas arra, hogy a támadó távolról kódot futtasson a sebezhető rendszeren, káros programokat, például webshelleket telepítsen, amelynek segítségével fenntarthatja hozzáférését a fertőzött szerverhez. A sebezhetőségek kihasználásához alkalmazott kérések formátuma nagyon hasonló a tavalyi Proxyshell sérülékenység kihasználásához, erről a cég elemzésébenbővebb technikai információ is található. További analízis alapján látható, hogy az eredeti frissítés nem érte le a célját, hanem a November 8-án kiadott új javítás ad csak megfelelő védelmet a sérülékenység ellen.

A két biztonsági hibához ZDI azonosítók (ZDI-CAN-18333 és ZDI-CAN-18802 mellett már CVE szám is tartozik a gyártói közlemény szerint.

  • CVE-2022-41040 - A Microsoft Exchange Server jogosultságok növelésének sebezhetősége: SSRF (Server-Side Request Forgery).
  • CVE-2022-41082 - A Microsoft Exchange Server távoli kódvégrehajtási sebezhetőség: RCE (Remote Code Execution).

A sérülékenységben érintett verziók: Exchange Server 2013, 2016, 2019.

A sérülékenységet kihasználására utaló kérések lekérdezése:

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200

A GTSC által azonosított támadásokról

A GTSC jelentésében arról számol be, hogy a támadók a China Chopper nevű webshellt alkalmazták az azonosított támadások során. A kínai fenyegetési szereplőkhöz köthető káros kódot a támadók az Antsword nevű nyílt forráskódú, platformközi weboldal adminisztrációs eszközzel irányították.

A sebezhetőségek leginkább azon vállalatokat fenyegetik, amelyek Exchange levelező szerverükhöz a nyílt Internet irányából hozzáférést engednek Outlook Web Appon keresztül, VPN nélkül.

(forrás)