Poradnik dotyczący problemów firmy Microsoft dotyczących dwóch luk 0-day w programie Exchange Server, brak jeszcze poprawek

Microsoft Exchange Server po prostu nie może przestać. W zeszłym roku firma ostrzegła przed powszechnymi atakami na lokalne serwery i pośpieszyła przez kilka tygodni, aby szczegółowo określić sposoby ich rozwiązania i opublikować aktualizacje zabezpieczeń. Teraz wygląda na to, że oprogramowanie jest ponownie atakowane dwiema lukami 0-day .

Jak zwykle, nie ma to wpływu na klientów Exchange Online i nie muszą nic robić. Luki dotyczą lokalnych instalacji Exchange Server 2013, 2016 i 2019.

Dwie luki są oznaczone odpowiednio CVE-2022-41040 i CVE-2022-41082. Pierwsza z nich to luka w zabezpieczeniach Server Side Request Forgery (SSRF), podczas gdy druga umożliwia atakującemu przeprowadzanie ataków zdalnego wykonania kodu (RCE) za pośrednictwem PowerShell. Jednak osoba atakująca musiałaby uzyskać uwierzytelniony dostęp do serwera Exchange, aby wykorzystać jedną z dwóch luk.

Ponieważ nie ma jeszcze poprawki, Microsoft, co zrozumiałe, nie wszedł w szczegóły łańcucha ataków. Zauważył jednak kilka środków zaradczych, które obejmują dodanie reguły blokowania do instrukcji przepisywania adresów URL oraz blokowanie portów 5985 (HTTP) i 5986 (HTTPS), które są używane przez Remote PowerShell.

Niestety, nie ma konkretnych wyszukiwań hasła Microsoft Sentinel, a program Microsoft Defender for Endpoint może wykrywać tylko działania po wykorzystaniu, które obejmują również wykrywanie złośliwego oprogramowania powłoki WWW „ Chopper ”, które zostało znalezione w atakach „na wolności”. Microsoft zapewnił klientów, że pracuje nad „szybką ścieżką” dla poprawki, ale jeszcze nie ujawnił wstępnej daty wydania poprawki. Więcej informacji na temat łagodzenia skutków i wykrywania luk w zabezpieczeniach 0-day można znaleźć tutaj .