Microsoft conferma: gli 0day di Exchange vengono utilizzati attivamente

Redazione RHC : 1 Ottobre 2022 12:15

Microsoft ha confermato che due vulnerabilità zero-day segnalate di recente in Microsoft Exchange Server 2013, 2016 e 2019 vengono sfruttate attivamente.

Inoltre (cosa che sembrava chiara nella giornata di ieri), afferma che i clienti di Exchange Online non devono intraprendere alcuna azione al momento perché l’azienda dispone delle misure di mitigazione per proteggere i clienti. Pertanto le installazioni non protette ad oggi sarebbero solo quelle onprem.

“La prima vulnerabilità, identificata come CVE-2022-41040, è una vulnerabilità Server-Side Request Forgery (SSRF), mentre la seconda, identificata come CVE-2022-41082, consente l’esecuzione di codice in modalità remota (RCE) quando PowerShell è accessibile dall’attaccante”

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

ha affermato Microsoft in un rapporto pubblicato il 29 settembre e prosegue:

“In questo momento, Microsoft è a conoscenza di attacchi mirati ma limitati che utilizzano le due vulnerabilità per entrare nei sistemi degli utenti”.

La società ha aggiunto che il difetto CVE-2022-41040 può essere sfruttato solo da aggressori autenticati. Lo sfruttamento riuscito consente quindi loro di attivare la vulnerabilità RCE CVE-2022-41082.

“Microsoft sta inoltre monitorando questi rilevamenti già implementati per attività dannose e intraprenderà le azioni di risposta necessarie per proteggere i clienti… Stiamo lavorando su una tempistica accelerata per rilasciare una correzione”

ha aggiunto Microsoft parlando della fix al problema.

Redmond ha anche confermato le misure di mitigazione condivise ieri da GTSC, i cui ricercatori di sicurezza hanno anche segnalato i due difetti a Microsoft in privato tramite Zero Day Initiative tre settimane fa.

“I clienti Microsoft Exchange in locale devono esaminare e applicare le seguenti istruzioni di riscrittura degli URL e bloccare le porte di PowerShell remote esposte”

Dice Microsoft.

“L’attuale mitigazione consiste nell’aggiungere una regola di blocco in “IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions” per bloccare i modelli di attacco noti.”

Per applicare la mitigazione ai server vulnerabili, dovrai seguire i seguenti passaggi riportati all’interno del documento emesso da Microsoft.

Poiché gli attori delle minacce possono anche accedere a PowerShell Remoting su server Exchange esposti e vulnerabili per l’esecuzione di codice in modalità remota tramite lo sfruttamento CVE-2022-41082, Microsoft consiglia inoltre agli amministratori di bloccare le seguenti porte di PowerShell remote per ostacolare gli attacchi:

• HTTP: 5985
• HTTPS: 5986

GTSC ha affermato ieri che gli amministratori che desiderano verificare se i loro server Exchange sono già stati compromessi possono eseguire il seguente comando PowerShell per scansionare i file di registro IIS per gli indicatori di compromissione:

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli