Microsoft ha confermato la scoperta di due vulnerabilità 0-day in Microsoft Exchange Server 2013, 2016 e 2019. Le due vulnerabilità sono:
Queste le descrizioni brevi di Microsoft rispetto alle due vulnerabilità: la corporation ha comunque fatto sapere di essere già al lavoro per produrre i fix necessari a "tappare" le due falle.
"Al momento, Microsoft è a conoscenza di attacchi mirati che stanno sfruttando queste due vulnerabilità per accedere ai sistemi degli utenti" ha dichiarato Microsoft.
La società ha aggiunto che la vulnerabilità CVE-2022-41040 può essere sfruttata solo da attaccanti autenticati: se però l'exploit di questa ha successo, l'attaccante può attivare la vulnerabilità CVE-2022-41082. Sottolineiamo comunque che al momento queste 0-day impattano solo sulle istanze Microsoft Exchange on-premise.
I primi ad individuare queste due vulnerabilità sono stati i ricercatori dell'azienda di cyber security vietnamita GTSC: i ricercatori hanno intercettato una serie di attacchi in corso e hanno scoperto così le vulnerabilità che ne stanno alla base.
Gli attaccanti stanno usando questa coppia di vulnerabilità per distribuire le webshell Chopper, sviluppate da cyber attaccanti cinesi: queste webshell hanno lo scopo di rubare i dati e hanno dimostrato alte capacità di propagazione grazie alle funzionalità di spostamento laterale sui sistemi lungo le reti bersaglio. GTSC ha proceduto ad avvisare Microsoft celermente, visto che le due vulnerabilità non erano ancora state individuate e pubblicate: i punteggi a loro assegnati sono 8,8 per la prima CVE e 6,3 per la seconda.
Al momento queste vulnerabilità sono sfruttate per creare backdoor sui sistemi sotto attacco e per eseguire movimenti laterali al fine di infettare anche gli altri server nel sistema.
GTSC ha pubblicato una serie di misure adottabili come mitigazione temporanea del problema, così da minimizzare il rischio di attacchi in attesa che Microsoft rende disponibili i necessari fix. Sottolineiamo che i ricercatori GTSC hanno verificato che le versioni Exchange sotto attacco erano aggiornate, quindi lo sfruttamento delle vulnerabilità non è relativo alla vulnerabilità ProxyShell.
Microsoft ha spiegato che i clienti che utilizzano Microsoft Exchange in locale devono verificare e applicare le seguenti istruzioni di URL Rewrite e bloccare le porte remote PowerShell esposte. La mitigazione, in pratica, consiste nell'aggiungere una regola IIS capace di bloccare le richieste di connessione al componente vulnerabile.
Per fare ciò, GTSC consiglia di cercare il sito Autodiscover tra quelli creati in IIS, quindi aggiungere all'URL rewrite una nuova regola che blocchi le richieste.
Dato che gli attaccanti possono ottenere l'accesso anche al PowerShell Remoting nei server Exchange esposti e vulnerabili tramite l'exploit della CVE-2022-41082, Microsoft consiglia anche di bloccare le seguenti porte Remote PowerShell:
Ulteriori informazioni tecniche, indicatori di compromissione e info sono disponibili nella "Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server"
A seguito di numerosi incidenti di sicurezza in cui gli attaccanti hanno sfruttato reti non segmentate per diffondere malware e ac...
In questo mondo digitale iperconnesso, le aziende devono affrontare minacce informatiche sempre più complesse che richiedono misur...
Seqrite XDR ha ottenuto l' Approved Advanced EDR Certification di AV Test. Ecco perchéIl panorama della sicurezza informatica è in...