Microsoft, CVE-2022-41040 ve CVE-2022-41082 olarak izlenen iki yeni Microsoft Exchange Zero-Day güvenlik açıkları için azaltma paylaştı, ancak araştırmacılar, şirket içi sunucuların hafifletilmesinin yeterli olmadığı konusunda uyarıyor.
Tehdit aktörleri, Microsoft Exchange sunucularını ihlal etmek ve uzaktan kod yürütme elde etmek için aktif saldırılarda bu sıfır günlük hataların her ikisini de zincir ediyor.
Her iki güvenlik kusuru, yaklaşık üç hafta önce, geçen hafta ayrıntıları halka açık bir şekilde paylaşan Vietnam siber güvenlik şirketi GTSC tarafından sıfır günlük girişim programı aracılığıyla özel olarak bildirildi.
Microsoft Cuma günü iki konuyu doğruladı ve bunlardan yararlanan “sınırlı hedefli saldırıların farkında olduklarını” söyledi.
Bir danışmanlığın bir parçası olarak Microsoft, şirket içi sunucular için hafifletmeler ve Exchange Server müşterilerinin kuruluştaki “ADMIN olmayan kullanıcılar için uzaktan PowerShell erişimini devre dışı bırakmaları” için güçlü bir öneri paylaştı.
Sömürü riskini azaltmak için Microsoft, IIS yöneticisindeki bir kural aracılığıyla bilinen saldırı modellerini engellemeyi önerdi:
Yöneticiler, PowerShell 3 veya daha sonraki bir komut dosyası, yönetici ayrıcalıklarıyla çalışması gereken ve IIS 7.5 veya daha yeni çalıştırması gereken bir komut dosyası olan Microsoft’un güncellenmiş Exchange Borsası Mitigation Aracını çalıştırarak aynı sonucu gerçekleştirebilir.
Bununla birlikte, Microsoft'un önerdiği kural sadece bilinen saldırıları kapsar, bu nedenle URL modeli bunlarla sınırlıdır.
Güvenlik araştırmacısı Jang, bugün bir tweet'te Microsoft’un CVE-2022-41040 ve CVE-2022-41082'nin kullanılmasını önlemek için geçici çözümünün etkili olmadığını ve çok az çaba ile atlanabileceğini gösteriyor.
Analycence'da kıdemli bir güvenlik açığı analisti olan Will Dormann, bulguyu kabul ediyor ve Microsoft’un URL bloğundaki '@' 'gereksiz yere kesin ve dolayısıyla yetersiz göründüğünü söylüyor.
Jang’ın bulgusu, bugün bir videoda Microsoft’un azaltılmasının yeterli koruma sağlamadığını doğrulayan GTSC'deki araştırmacılar tarafından test edildi.
Microsoft'un öne sürdüğü URL bloğu yerine Jang, daha geniş bir saldırı setini kapsayacak şekilde tasarlanmış daha az spesifik bir alternatif sağladı:
Microsoft, iki güvenlik açığı için tavsiyelerinde, azaltma talimatlarının şirket içi Exchange sunucusu olan müşteriler için başvurduğunu ve Exchange çevrimiçi istemcilerin herhangi bir işlem yapması gerekmediğini söylüyor.
Bununla birlikte, birçok kuruluşun şirket içi Microsoft Exchange'in bulut dağıtımıyla birleştiren hibrit bir kurulum vardır ve bunların da savunmasız olduklarını anlamalıdırlar.
Bugün bir videoda, güvenlik araştırmacısı Kevin Beaumont, şirket içi değişim sunucusu dağıtımının olduğu sürece kuruluşun risk altında olduğunu uyarıyor.
İstismar zincirine Proxynotshell olarak atıfta bulunan Beaumont, hibrit bir değişim kurulumunun kurumsal ortamlarda "son derece yaygın" olduğunu ve maruz kaldıkları risk seviyesini dikkate almaları gerektiğini söylüyor.
Bu kuruluşların 1.200'ünden fazlası hibrit dağıtımlarını kamuya açık web'de de ortaya koyuyor. Bunlar arasında finans, eğitim ve hükümet sektöründeki varlıklar, casusluk veya gasp operasyonları yürüten bilgisayar korsanları için son derece cazip hedefler var.
Yayıncılık sırasında Microsoft, iki sorunu çözmek için bir güncelleme yayınlamadı, ancak güvenlik ve sömürü için gerekli koşullar hakkında bilgi içeren güvenlik danışmanları yayınladı.
Microsoft, CVE-2022-41040'ı, bir saldırganın herhangi bir kullanıcı etkileşimi olmadan etkilenen makinedeki ayrıcalıklarını artırmak için kolayca yararlanabileceği yüksek riskli (8.8/10 şiddet puanı) güvenlik açığı olarak tanımlar.
Bu güvenlik sorununun daha yüksek bir şiddet puanı olmamasının nedeni, tehdit oyuncunun kimliği doğrulanması gerektiğidir.
CVE-2022-41082, aynı yüksek şiddetli puana sahiptir, ancak “temel kullanıcı yeteneklerini sağlayan ayrıcalıklar” (kullanıcının sahip olduğu ayarlar ve dosyalar) olan bir saldırgan tarafından savunmasız şirket içi Microsoft Exchange sunucularında uzaktan kod yürütülmesi için kullanılabilir. .
GÜNCELLEME [3 Ekim 2022, 17:06 EST]: Kevin Beaumont'un bazı kuruluşların hibrit bir Microsoft Exchange kurulumuna sahip olmanın onları saldırılardan koruyacağına dair yanlış anlaması hakkındaki açıklamalarla güncellenen makale.
Github'da Satılık Sahte Microsoft Exchange Proxynotshell istismarları
Yeni Microsoft Exchange Zero-Days aktif olarak saldırılarda sömürüldü
Microsoft, yeni değişim sıfır günlerinin saldırılarda kullanıldığını doğrular
CISA, saldırılarda kullanılan kritik yönetilen rce hatası konusunda uyarıyor
CISA, ajanslara stuxnet saldırılarında kullanılan güvenlik açığını yamaya sipariş eder
Kaynak: Bleeping Computer