Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Microsoft conferma: gli 0day di Exchange vengono utilizzati attivamente

Redazione RHC : 1 Ottobre 2022 12:15

Microsoft ha confermato che due vulnerabilità zero-day segnalate di recente in Microsoft Exchange Server 2013, 2016 e 2019 vengono sfruttate attivamente.

Inoltre (cosa che sembrava chiara nella giornata di ieri), afferma che i clienti di Exchange Online non devono intraprendere alcuna azione al momento perché l’azienda dispone delle misure di mitigazione per proteggere i clienti. Pertanto le installazioni non protette ad oggi sarebbero solo quelle onprem.

“La prima vulnerabilità, identificata come CVE-2022-41040, è una vulnerabilità Server-Side Request Forgery (SSRF), mentre la seconda, identificata come CVE-2022-41082, consente l’esecuzione di codice in modalità remota (RCE) quando PowerShell è accessibile dall’attaccante”

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    ha affermato Microsoft in un rapporto pubblicato il 29 settembre e prosegue:

    “In questo momento, Microsoft è a conoscenza di attacchi mirati ma limitati che utilizzano le due vulnerabilità per entrare nei sistemi degli utenti”.

    La società ha aggiunto che il difetto CVE-2022-41040 può essere sfruttato solo da aggressori autenticati. Lo sfruttamento riuscito consente quindi loro di attivare la vulnerabilità RCE CVE-2022-41082.

    “Microsoft sta inoltre monitorando questi rilevamenti già implementati per attività dannose e intraprenderà le azioni di risposta necessarie per proteggere i clienti… Stiamo lavorando su una tempistica accelerata per rilasciare una correzione”

    ha aggiunto Microsoft parlando della fix al problema.

    Redmond ha anche confermato le misure di mitigazione condivise ieri da GTSC, i cui ricercatori di sicurezza hanno anche segnalato i due difetti a Microsoft in privato tramite Zero Day Initiative tre settimane fa.

    “I clienti Microsoft Exchange in locale devono esaminare e applicare le seguenti istruzioni di riscrittura degli URL e bloccare le porte di PowerShell remote esposte”

    Dice Microsoft.

    “L’attuale mitigazione consiste nell’aggiungere una regola di blocco in “IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions” per bloccare i modelli di attacco noti.”

    Per applicare la mitigazione ai server vulnerabili, dovrai seguire i seguenti passaggi riportati all’interno del documento emesso da Microsoft.

    Poiché gli attori delle minacce possono anche accedere a PowerShell Remoting su server Exchange esposti e vulnerabili per l’esecuzione di codice in modalità remota tramite lo sfruttamento CVE-2022-41082, Microsoft consiglia inoltre agli amministratori di bloccare le seguenti porte di PowerShell remote per ostacolare gli attacchi:

    • HTTP: 5985
    • HTTPS: 5986

    GTSC ha affermato ieri che gli amministratori che desiderano verificare se i loro server Exchange sono già stati compromessi possono eseguire il seguente comando PowerShell per scansionare i file di registro IIS per gli indicatori di compromissione:

    Get-ChildItem -Recurse -Path  -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    Op_Italy: un attacco DDoS di Mr Hamza è stato sferrato contro il Ministero Della Difesa italiana

    Sabato 3 maggio, un post pubblicato su un canale Telegram legato al gruppo “Mr Hamza” ha rivendicato un cyberattacco ai danni del Ministero della Difesa italiano. Il messaggio, scritto i...

    Hai cambiato la password? Tranquillo, RDP se ne frega! La Scoperta Shock su Windows

    Microsoft ha confermato che il protocollo RDP (Remote Desktop Protocol) consente l’accesso ai sistemi Windows anche utilizzando password già modificate o revocate. L’azienda ha chia...

    Attenti italiani! Una Finta Multa da pagare tramite PagoPA vuole svuotarti il conto

    Una nuova campagna di phishing sta circolando in queste ore con un obiettivo ben preciso: spaventare le vittime con la minaccia di una multa stradale imminente e gonfiata, apparentemente proveniente d...

    Italia sarai pronta al Blackout Digitale? Dopo La Spagna l’attacco informatico alla NS Power

    Negli ultimi giorni, NS Power, una delle principali aziende elettriche canadesi, ha confermato di essere stata vittima di un attacco informatico e ha pubblicato degli update all’interno della H...

    Sicurezza è Lavoro: dal cantiere al cloud, dobbiamo proteggere chi costruisce l’Italia!

    1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006