Ranjivost na Microsoft Exchange poslužiteljima

Pronađene su dvije kritične ranjivosti na Microsoft Exchange Server 2013, 2016 i 2019. Ranjivost su:
    • CVE-2022-41040 – Server-Side Request Forgery (SSRF) ranjivost,
    • CVE-2022-41082 – Remote Code Execution (RCE) ranjivost.
S obzirom da još nije izdano ažuriranje za navedenu ranjivost, proizvođač Microsoft je izdao privremene službene smjernice kako bi pomogli korisnicima da se zaštite od novih napada:
 
Privremeno dodavanje novog pravila na IIS serveru koristeći URL Rewrite Rule modul:

    1. U Autodiscover na frontendu web stranice (Default web Site) odaberite tab URL Rewrite, I odaberite Request Blocking
    2. U polju block access based on odaberite URL Path, polje Pattern URL Path dodajte: “.*autodiscover\.json.*\@.*Powershell.*“, a kod polja Using odaberite Regular Expressions
    3. U polju Condition input odaberite: {REQUEST_URI}

Važno je za napomenuti da je potreban autentificirani pristup poslužitelju kako bi uspješno iskoristila jedna ili obje ranjivosti.

Ažuriranje 04.10.2022
Autentificirani napadači koji mogu pristupiti "Powershell Remoting" servisu na ranjivom Microsoft Exchange poslužitelju mogu i dalje iskoristiti ranjivost CVE-2022-41082. Stoga predlaže se blokiranje mrežnih sučelja koji se koriste za "Remote Powershell" kako bi se ograničili ovi napadi:

• HTTP: 5985
• HTTPS: 5986

Za više informacija:
    • https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
    • https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

[30.09.2022 - 15:20] - inicijalna publikacija
[04.10.2022 - 13:49] - Ažurirani članak s novim informacijama o ranjivostima