Firma Microsoft nie wydała jeszcze łaty, która naprawiłaby dwa exploity zero-day, które, jak potwierdził, zostały wykorzystane przez atakujących w kampaniach mających na celu zdalne wykonanie kodu na zaatakowanych systemach.
W piątek 30 września Microsoft potwierdził istnienie dwóch luk zero-day (CVE-2022-41040 s CVE-2022-41082), które są używane w połączeniu z kampaniami, które mają na celu uzyskanie dostępu do serwerów Microsoft Exchange i wykonanie zdalnego kodu na zhakowanych systemach. Dotyczy wersji Microsoft Exchange Server 2013, 2016 i 2019.
Odkrycie tych luk leży w rękach badaczy z GTSC, który trzy tygodnie temu odkrył ataki na krytyczne infrastruktury, w których wykorzystano obie luki, i zgłosił je do inicjatywy Zero Day.
tak szczegółowo MicrosoftCVE-2022-41040 to rodzaj podatności Fałszowanie żądań po stronie serwera (SSRF), podczas gdy CVE-2022-41082 umożliwia zdalne wykonanie kodu (RCE), gdy PowerShell jest dostępny dla atakującego. Należy zauważyć, że aby skutecznie wykorzystać tę lukę, osoba atakująca potrzebuje uprawnień do uwierzytelniania na serwerze Exchange.
Ze swojej strony badacz Kevin Beaumont, który nazwał te Zero Days ProxyNotShell, stwierdził, że mają one podobieństwa z serią poważnych luk w serwerze Microsoft Exchange znanym jako ProxyShell, które po zgłoszeniu na początku 2021 r. zaczęły być wykorzystywane przez Duża liczba cyberprzestępców w kampaniach na całym świecie.
W artykule opublikowanym przez GTSC 29 września i zaktualizowanym, firma wyjaśnia szczegóły i posty Tymczasowe środki powstrzymywania skierowane do organizacji którego używają w swoim systemie pocztowym Exchange, podczas gdy Microsoft wypuszcza łatkę.
Ponadto Microsoft udostępnił w innym artykule Plik Analiza wykrytych (do tej pory) ataków z wykorzystaniem tych luk Ujawnili, że rozpoczęli od złośliwego żądania wysłanego do portu 443, a następnie wykorzystali obie luki w łańcuchu, umożliwiając atakującym wykonywanie zadań rozpoznawczych, ruchów bocznych i eksploracji danych.
Łagodzenie ProxyNotShell
Ze swojej strony Microsoft opublikował artykuł, w którym dzieli się sposobami na złagodzenie zarówno Zero Days in Exchange, jak i zaleca Wyłącz zdalny dostęp do PowerShell dla użytkowników Kto nie ma uprawnień administratora w organizacji. Jednak badacze w Świergot Ostrzegaliśmy, że ten środek łagodzący zapewniany przez firmę Microsoft nie jest wystarczający w przypadku serwerów lokalnych i może zostać łatwo ominięty przez atakującego. Analityk Will Dorman Podziel się tą opinią Uważa się, że jest to niewystarczające do złagodzenia.
Jak opisano w artykule autorstwa KomputerOświadczenie firmy Microsoft zawiera informacje o tym, w jaki sposób ogranicza te luki w zabezpieczeniach dla klientów korzystających z serwerów Exchange lokalnie, podczas gdy klienci korzystający z usługi Exchange Online nie muszą podejmować żadnych działań; Jednak wiele organizacji korzysta z systemu mieszanego, co naraża je na niebezpieczeństwo. Beaumont wyjaśnił, że istnieje wiele organizacji, które mają Exchange skonfigurowane w systemie hybrydowym i że obecnie, według Shodana, istnieje ponad 1200 organizacji korzystających z tego modelu.
W poście GTSC firma udostępniła narzędzie do sprawdzania, czy jej serwery Exchange zostały naruszone przez wykorzystanie tej luki, podczas gdy społeczność zaczęła już publikować Narzędzia do wyszukiwania serwerów Exchange podatnych na działanie ProxyNotShell.
Fałszywe exploity na sprzedaż na Github
Kolejną wiadomością, która pojawiła się w ciągu ostatnich kilku godzin, która częściowo wyjaśnia wpływ tych zerowych dni, jest fakt, że istnieją złośliwi aktorzy udający badaczy bezpieczeństwa i wykorzystujący zainteresowanie do oferowania fałszywych luk w zabezpieczeniach na sprzedaż. ProxyNotShell w serwisie GitHub. Jak donosi badacz bezpieczeństwa, ŚwiergotPięć kont zostało już usuniętych. Oszuści przenoszą potencjalne ofiary na stronę, na której mogą „kupić” fałszywego exploita Bitcoin za kwoty przekraczające 400 000 USD.
W chwili pisania tego tekstu firma Microsoft nie wydała jeszcze łaty naprawiającej te luki.
„Amatorski praktykujący muzykę. Wieloletni przedsiębiorca. Odkrywca. Miłośnik podróży. Nieskrępowany badacz telewizji.”
:quality(75)/cloudfront-us-east-1.images.arcpublishing.com/elcomercio/G73RL2I77RHUTF4Z247S57H3NM.jpg "MWC 2024: Honor potwierdza przybycie Magic 6 Pro do Peru | Światowy Kongres Mobilny | MWC Barcelona 2024 | Telefony komórkowe | Smartfony | Telefony komórkowe | Wiadomości | Hiszpania | | technologia")
:quality(85)/cloudfront-us-east-1.images.arcpublishing.com/infobae/JCHP4WQPAJE7BLT42T6S57PYRY.jpg "Apple Mexico: to obecnie najczęściej słuchane podcasty")
