Microsoft conferma: gli 0day di Exchange vengono utilizzati attivamente

Redazione RHC : 1 Ottobre 2022 12:15

Microsoft ha confermato che due vulnerabilità zero-day segnalate di recente in Microsoft Exchange Server 2013, 2016 e 2019 vengono sfruttate attivamente.

Inoltre (cosa che sembrava chiara nella giornata di ieri), afferma che i clienti di Exchange Online non devono intraprendere alcuna azione al momento perché l’azienda dispone delle misure di mitigazione per proteggere i clienti. Pertanto le installazioni non protette ad oggi sarebbero solo quelle onprem.

“La prima vulnerabilità, identificata come CVE-2022-41040, è una vulnerabilità Server-Side Request Forgery (SSRF), mentre la seconda, identificata come CVE-2022-41082, consente l’esecuzione di codice in modalità remota (RCE) quando PowerShell è accessibile dall’attaccante”

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

ha affermato Microsoft in un rapporto pubblicato il 29 settembre e prosegue:

“In questo momento, Microsoft è a conoscenza di attacchi mirati ma limitati che utilizzano le due vulnerabilità per entrare nei sistemi degli utenti”.

La società ha aggiunto che il difetto CVE-2022-41040 può essere sfruttato solo da aggressori autenticati. Lo sfruttamento riuscito consente quindi loro di attivare la vulnerabilità RCE CVE-2022-41082.

“Microsoft sta inoltre monitorando questi rilevamenti già implementati per attività dannose e intraprenderà le azioni di risposta necessarie per proteggere i clienti… Stiamo lavorando su una tempistica accelerata per rilasciare una correzione”

ha aggiunto Microsoft parlando della fix al problema.

Redmond ha anche confermato le misure di mitigazione condivise ieri da GTSC, i cui ricercatori di sicurezza hanno anche segnalato i due difetti a Microsoft in privato tramite Zero Day Initiative tre settimane fa.

“I clienti Microsoft Exchange in locale devono esaminare e applicare le seguenti istruzioni di riscrittura degli URL e bloccare le porte di PowerShell remote esposte”

Dice Microsoft.

“L’attuale mitigazione consiste nell’aggiungere una regola di blocco in “IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions” per bloccare i modelli di attacco noti.”

Per applicare la mitigazione ai server vulnerabili, dovrai seguire i seguenti passaggi riportati all’interno del documento emesso da Microsoft.

Poiché gli attori delle minacce possono anche accedere a PowerShell Remoting su server Exchange esposti e vulnerabili per l’esecuzione di codice in modalità remota tramite lo sfruttamento CVE-2022-41082, Microsoft consiglia inoltre agli amministratori di bloccare le seguenti porte di PowerShell remote per ostacolare gli attacchi:

• HTTP: 5985
• HTTPS: 5986

GTSC ha affermato ieri che gli amministratori che desiderano verificare se i loro server Exchange sono già stati compromessi possono eseguire il seguente comando PowerShell per scansionare i file di registro IIS per gli indicatori di compromissione:

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli