Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
970x20 Itcentric
UtiliaCS 320x100
Microsoft conferma: gli 0day di Exchange vengono utilizzati attivamente

Microsoft conferma: gli 0day di Exchange vengono utilizzati attivamente

Redazione RHC : 1 Ottobre 2022 12:15

Microsoft ha confermato che due vulnerabilità zero-day segnalate di recente in Microsoft Exchange Server 2013, 2016 e 2019 vengono sfruttate attivamente.

Inoltre (cosa che sembrava chiara nella giornata di ieri), afferma che i clienti di Exchange Online non devono intraprendere alcuna azione al momento perché l’azienda dispone delle misure di mitigazione per proteggere i clienti. Pertanto le installazioni non protette ad oggi sarebbero solo quelle onprem.

“La prima vulnerabilità, identificata come CVE-2022-41040, è una vulnerabilità Server-Side Request Forgery (SSRF), mentre la seconda, identificata come CVE-2022-41082, consente l’esecuzione di codice in modalità remota (RCE) quando PowerShell è accessibile dall’attaccante”


Rhc Conference Sponsor Program 2

Sponsorizza la prossima Red Hot Cyber Conference!

Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference
Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. 
Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. 
Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.


Supporta Red Hot Cyber attraverso: 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

ha affermato Microsoft in un rapporto pubblicato il 29 settembre e prosegue:

“In questo momento, Microsoft è a conoscenza di attacchi mirati ma limitati che utilizzano le due vulnerabilità per entrare nei sistemi degli utenti”.

La società ha aggiunto che il difetto CVE-2022-41040 può essere sfruttato solo da aggressori autenticati. Lo sfruttamento riuscito consente quindi loro di attivare la vulnerabilità RCE CVE-2022-41082.

“Microsoft sta inoltre monitorando questi rilevamenti già implementati per attività dannose e intraprenderà le azioni di risposta necessarie per proteggere i clienti… Stiamo lavorando su una tempistica accelerata per rilasciare una correzione”

ha aggiunto Microsoft parlando della fix al problema.

Redmond ha anche confermato le misure di mitigazione condivise ieri da GTSC, i cui ricercatori di sicurezza hanno anche segnalato i due difetti a Microsoft in privato tramite Zero Day Initiative tre settimane fa.

“I clienti Microsoft Exchange in locale devono esaminare e applicare le seguenti istruzioni di riscrittura degli URL e bloccare le porte di PowerShell remote esposte”

Dice Microsoft.

“L’attuale mitigazione consiste nell’aggiungere una regola di blocco in “IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions” per bloccare i modelli di attacco noti.”

Per applicare la mitigazione ai server vulnerabili, dovrai seguire i seguenti passaggi riportati all’interno del documento emesso da Microsoft.

Poiché gli attori delle minacce possono anche accedere a PowerShell Remoting su server Exchange esposti e vulnerabili per l’esecuzione di codice in modalità remota tramite lo sfruttamento CVE-2022-41082, Microsoft consiglia inoltre agli amministratori di bloccare le seguenti porte di PowerShell remote per ostacolare gli attacchi:

  • HTTP: 5985
  • HTTPS: 5986

GTSC ha affermato ieri che gli amministratori che desiderano verificare se i loro server Exchange sono già stati compromessi possono eseguire il seguente comando PowerShell per scansionare i file di registro IIS per gli indicatori di compromissione:

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'

Immagine del sitoRedazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Immagine del sito
HackerHood di RHC Rivela due nuovi 0day sui prodotti Zyxel
Di Redazione RHC - 21/10/2025

Il ricercatore di sicurezza Alessandro Sgreccia, membro del team HackerHood di Red Hot Cyber, ha segnalato a Zyxel due nuove vulnerabilità che interessano diversi dispositivi della famiglia ZLD (ATP ...

Immagine del sito
Vulnerabilità F5 BIG-IP: 266.000 dispositivi a rischio nel mondo! 2500 in Italia
Di Redazione RHC - 20/10/2025

La Cybersecurity and Infrastructure Security Agency (CISA) e il Multi-State Information Sharing & Analysis Center (MS-ISAC) pubblicano questo avviso congiunto sulla sicurezza informatica (CSA) in ...

Immagine del sito
Interruzione servizi cloud Amazon Web Services, problemi globali
Di Redazione RHC - 20/10/2025

Un’importante interruzione dei servizi cloud di Amazon Web Services (AWS) ha causato problemi di connessione diffusi in tutto il mondo, coinvolgendo piattaforme di grande rilievo come Snapchat, Fort...

Immagine del sito
Stanno Arrivando! Unitree Robotics lancia l’umanoide H2 Destiny Awakening
Di Redazione RHC - 20/10/2025

L’azienda cinese “Unitree Robotics” ha sfidato il primato della robotica statunitense con il lancio del suo umanoide H2 “Destiny Awakening”. L’umanoide unisce la forma umana a movimenti so...

Immagine del sito
Il processore Intel 386 compie 40 anni: così nacque l’era dei 32 bit
Di Redazione RHC - 20/10/2025

Il 20 ottobre 2025 segna un anniversario importante per la storia dell’informatica: il processore Intel 80386, noto anche come i386, celebra il suo 40° compleanno. Ed è un compleanno importante! L...