Microsoft confirma 2 Zero Days do Exchange Blindsiding

Microsoft confirma 2 Zero Days do Exchange Blindsiding, ainda sem patch. As vulnerabilidades de segurança “ProxyNotShell” podem ser encadeadas para execução remota de código e controle total de plataformas de e-mail corporativas.

A Microsoft está rastreando rapidamente os patches para duas vulnerabilidades de dia zero do Exchange Server, enquanto isso, as empresas devem estar atentas a ataques . A gigante da computação disse em uma atualização de sexta-feira, 30 de setembro, que já está vendo “ataques direcionados limitados” encadeando os bugs para acesso inicial e aquisição do sistema de e-mail.

As falhas afetam especificamente as versões locais do Microsoft Exchange Server 2013, 2016 e 2019 voltadas para a Internet, de acordo com a Microsoft. No entanto, vale a pena notar que o pesquisador de segurança Kevin Beaumont diz que os clientes do Microsoft Exchange Online que executam servidores híbridos do Exchange com o Outlook Web Access (OWA) também estão em risco, apesar do comunicado oficial afirmar que as instâncias online não são afetadas. A equipe do Rapid7 repetiu essa avaliação .

Os bugs são rastreados da seguinte forma:

  • CVE-2022-41040 (CVSS 8.8), uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) que dá acesso a qualquer caixa de correio no Exchange;
  • CVE-2022-41082 (CVSS 6.3), que permite a execução de código remoto autenticado (RCE) quando o PowerShell está acessível ao invasor.

É importante ressaltar que o acesso autenticado ao Exchange Server é necessário para exploração, apontou o alerta da Microsoft. Beaumont acrescentou: “Observe que a exploração precisa de credenciais válidas de não administrador para qualquer usuário de e-mail“.

Patches e Mitigações para CVE-2022-41040, CVE-2022-41082

Até agora, não há patch disponível, mas a Microsoft fez uma triagem dos bugs e está rastreando rapidamente uma correção.

Estamos trabalhando em um cronograma acelerado para lançar uma correção“, de acordo com o comunicado de sexta-feira da Microsoft . “Até então, estamos fornecendo as orientações de mitigação e detecção.”

As mitigações incluem a adição de uma regra de bloqueio em “IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions” para bloquear os padrões de ataque conhecidos; e a empresa incluiu instruções de reescrita de URL no comunicado, que disse que “confirmou ter sucesso em quebrar as cadeias de ataque atuais“.

Além disso, o alerta observou que “uma vez que os invasores autenticados que conseguirem acessar o PowerShell Remoting em sistemas vulneráveis ​​do Exchange poderão acionar o RCE usando o CVE-2022-41082, bloquear as portas usadas para o Remote PowerShell pode limitar os ataques“.

Blindsiding-Bug

As falhas foram divulgadas em uma postagem no blog da empresa de segurança vietnamita GTSC, que observou que enviou relatórios de bugs para a Zero Day Initiative da Trend Micro no mês passado. Embora normalmente isso resultaria em um processo responsável de divulgação de vulnerabilidades no qual a Microsoft teria 120 dias para corrigir antes que as descobertas fossem divulgadas, a GTSC decidiu publicar depois de ver ataques à solta, disse.

“Após testes cuidadosos, confirmamos que esses sistemas estavam sendo atacados usando essa vulnerabilidade de Zero Day”, observaram os pesquisadores do GTSC em sua postagem no blog de quinta-feira . “Para ajudar a comunidade a interromper temporariamente o ataque antes que um patch oficial da Microsoft esteja disponível, publicamos este artigo voltado para as organizações que estão usando o sistema de e-mail Microsoft Exchange“.

Ele também ofereceu uma análise detalhada da cadeia de bugs, que é semelhante sob o escopo do grupo ProxyShell de vulnerabilidades do Exchange Server . Isso levou Beaumont (@gossithedog) a apelidar a cadeia de “ProxyNotShell”, completa com seu próprio logotipo .

Ele disse em sua análise na sexta-feira que, embora muitos atributos dos bugs sejam exatamente como o ProxyShell, os patches do ProxyShell não corrigem o problema. Ele também observou que, em termos de superfície de ataque, “perto de um quarto de milhão de servidores Exchange vulneráveis ​​enfrentam a Internet, mais ou menos“.

Ele caracterizou a situação como “bastante arriscada” em um feed do Twitter , observando que a exploração parece estar acontecendo há pelo menos um mês, e que agora que as falhas são públicas, as coisas podem “dar errado rapidamente“. Ele também questionou a orientação de mitigação da Microsoft.

Minha orientação seria parar de apresentar o OWA na Internet até que haja um patch, a menos que você queira seguir a rota de mitigação … mas isso é conhecido há um ano e há outras maneiras de explorar o Exchange para RCE sem PowerShell“, twittou Beaumont. “Por exemplo, se você tem SSRF (CVE-2022-41040), você é reconhecido no Exchange e pode acessar qualquer caixa de correio via EWS – veja a atividade anterior. Portanto, não tenho certeza de que a mitigação será válida.

Fonte: Dark Reading

Veja também:

Sobre mindsecblog 2383 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!