Microsoft conferma: gli 0day di Exchange vengono utilizzati attivamente

Redazione RHC : 1 Ottobre 2022 12:15

Microsoft ha confermato che due vulnerabilità zero-day segnalate di recente in Microsoft Exchange Server 2013, 2016 e 2019 vengono sfruttate attivamente.

Inoltre (cosa che sembrava chiara nella giornata di ieri), afferma che i clienti di Exchange Online non devono intraprendere alcuna azione al momento perché l’azienda dispone delle misure di mitigazione per proteggere i clienti. Pertanto le installazioni non protette ad oggi sarebbero solo quelle onprem.

“La prima vulnerabilità, identificata come CVE-2022-41040, è una vulnerabilità Server-Side Request Forgery (SSRF), mentre la seconda, identificata come CVE-2022-41082, consente l’esecuzione di codice in modalità remota (RCE) quando PowerShell è accessibile dall’attaccante”

Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765 

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

ha affermato Microsoft in un rapporto pubblicato il 29 settembre e prosegue:

“In questo momento, Microsoft è a conoscenza di attacchi mirati ma limitati che utilizzano le due vulnerabilità per entrare nei sistemi degli utenti”.

La società ha aggiunto che il difetto CVE-2022-41040 può essere sfruttato solo da aggressori autenticati. Lo sfruttamento riuscito consente quindi loro di attivare la vulnerabilità RCE CVE-2022-41082.

“Microsoft sta inoltre monitorando questi rilevamenti già implementati per attività dannose e intraprenderà le azioni di risposta necessarie per proteggere i clienti… Stiamo lavorando su una tempistica accelerata per rilasciare una correzione”

ha aggiunto Microsoft parlando della fix al problema.

Redmond ha anche confermato le misure di mitigazione condivise ieri da GTSC, i cui ricercatori di sicurezza hanno anche segnalato i due difetti a Microsoft in privato tramite Zero Day Initiative tre settimane fa.

“I clienti Microsoft Exchange in locale devono esaminare e applicare le seguenti istruzioni di riscrittura degli URL e bloccare le porte di PowerShell remote esposte”

Dice Microsoft.

“L’attuale mitigazione consiste nell’aggiungere una regola di blocco in “IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions” per bloccare i modelli di attacco noti.”

Per applicare la mitigazione ai server vulnerabili, dovrai seguire i seguenti passaggi riportati all’interno del documento emesso da Microsoft.

Poiché gli attori delle minacce possono anche accedere a PowerShell Remoting su server Exchange esposti e vulnerabili per l’esecuzione di codice in modalità remota tramite lo sfruttamento CVE-2022-41082, Microsoft consiglia inoltre agli amministratori di bloccare le seguenti porte di PowerShell remote per ostacolare gli attacchi:

• HTTP: 5985
• HTTPS: 5986

GTSC ha affermato ieri che gli amministratori che desiderano verificare se i loro server Exchange sono già stati compromessi possono eseguire il seguente comando PowerShell per scansionare i file di registro IIS per gli indicatori di compromissione:

Get-ChildItem -Recurse -Path  -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.