Регистриране

Новини


[Актуализирано] Нови критични уязвимости за Microsoft Exchange



От Microsoft обявиха официално за 2 нови сериозни уязвимости, които засягат Exchange Server 2013, 2016 и 2019.

Двете уязвимости са идентифицирани като CVE-2022-41040 - Server-Side Request Forgery (SSRF) и CVE-2022-41082 - remote code execution (RCE).

От Microsoft са потвърдили, че вече са наблюдавани атаки, използващи тези 2 уязвимости.

Все още няма публикувани официални patch–ове за отстраняване на двете уязвимости, но от Microsoft са публикували workaround за справяне с проблема:

- Отворете IIS Manager

- Default Web Site

- Във Feature View, изберете URL Rewrite

- Actions pane от дясно изберете Add Rules

- Изберете Request Blocking и потвърдете с OK

- Добавете "(?=.*autodiscover)(?=.*powershell)" (без кавичките)

- В полето Using изберете Regular Expression, а в How to Block - Abort Request

- Отворете правилото и изберете правило с "(?=.*autodiscover)(?=.*powershell)" и натиснете Edit under Conditions

- Сменете condition input от {URL} на {UrlDecode:{REQUEST_URI}}

  •  Препоръките отразяват актуализациите на Microsoft от 08.10.2022г.


От Microsoft препоръчват ако имате създадено правило, да не го редактирате, а да създадете ново.


Официално ръководство на Microsoft за workaround-a: https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/


CERT България Ви препоръчва, в случай че използвате Microsoft Exchange за пощенски сървър, да приложите workaround-а на Microsoft, при първа възможност, както и да инсталирате актуализациите за Microsoft Exchange, когато бъдат публикувани.

Освен това от Microsoft препоръчват забрана на remote PowerShell за non-admin потребители: https://learn.microsoft.com/en-us/powershell/exchange/control-remote-powershell-access-to-exchange-servers?view=exchange-ps

За проверка на Вашият Exchange Server за IoCs може да използвате следната PowerShell команда, която проверява IIS логовете:

Get-ChildItem -Recurse -Path Path_IIS_Logs1 -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'

1 По подразбиране path-a за логовете на IIS е: %SystemDrive%\inetpub\logs\LogFiles

 

За повече информация:

https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

https://doublepulsar.com/proxynotshell-the-story-of-the-claimed-zero-day-in-microsoft-exchange-5c63d963a9e9


3.10.2022 г.

НОВИ ВИРУСИ RSS
УЯЗВИМОСТИ RSS