Avviso di problemi Microsoft per due vulnerabilità di 0 giorni in Exchange Server, nessuna patch ancora

Microsoft Exchange Server non può fermarsi. L’anno scorso, la società ha avvertito di attacchi diffusi ai server locali e si è affrettata per diverse settimane a definire in dettaglio le misure per affrontarli e rilasciare aggiornamenti di sicurezza. Ora sembra che il software sia stato nuovamente attaccato con due vulnerabilità di 0 giorni .

Come di solito accade, ciò non influisce sui clienti di Exchange Online e non devono fare nulla. Le vulnerabilità si applicano alle installazioni locali di Exchange Server 2013, 2016 e 2019.

Le due vulnerabilità sono contrassegnate rispettivamente con CVE-2022-41040 e CVE-2022-41082. La prima è una vulnerabilità Server Side Request Forgery (SSRF), mentre la seconda consente a un utente malintenzionato di eseguire attacchi di esecuzione di codice in modalità remota (RCE) tramite PowerShell. Tuttavia, un utente malintenzionato dovrebbe avere l’accesso autenticato a Exchange Server per sfruttare una delle due vulnerabilità.

Poiché non esiste ancora una soluzione, Microsoft comprensibilmente non è entrata nei dettagli della catena di attacco. Tuttavia, ha notato diverse attenuazioni, tra cui l’aggiunta di una regola di blocco alle istruzioni di riscrittura dell’URL e il blocco delle porte 5985 (HTTP) e 5986 (HTTPS) utilizzate da Remote PowerShell.

Sfortunatamente, non ci sono ricerche specifiche per Microsoft Sentinel e Microsoft Defender per Endpoint può rilevare solo le attività post-sfruttamento, che includono anche il rilevamento del malware della shell Web ” Chopper ” che è stato trovato negli attacchi “in the wild”. Microsoft ha assicurato ai clienti che sta lavorando su una “corsia preferenziale” per la correzione, ma non ha ancora rivelato una data di rilascio provvisoria per la correzione. Puoi trovare ulteriori informazioni sulla mitigazione e sul rilevamento delle vulnerabilità 0 giorni qui .