Ir para conteúdo

Alerta de Vulnerabilidades - Microsoft Exchange Server

30 Set 2022

Alerta de Vulnerabilidades - Microsoft Exchange Server

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Microsoft Exchange Server 2013, 2016, e 2019
ECOSSISTEMA
Microsoft
Descrição

Foram identificadas duas vulnerabilidades 0-day (CVE-2022-41040 e CVE-2022-41082) que afetam o Microsoft Exchange Server 2013, 2016 e 2019. 
A vulnerabilidade CVE-2022-41040 é de Server-Side Request Forgery (SSRF) e a vulnerabilidade CVE-2022-41082 permite execução de código remoto (RCE) quando o atacante tem acesso à PowerShell.
A vulnerabilidade de SSRF pode permitir que um atacante autenticado explore a vulnerabilidade RCE. Note-se que é necessário um acesso autenticado ao Exchange Server vulnerável para explorar com sucesso qualquer uma das vulnerabilidades.
Estas vulnerabilidades estão a ser ativamente exploradas.
O Microsoft Exchange Online tem deteções e mitigações implementadas, pelo que não há necessidade de ação por parte destes clientes.

 

Impacto

Caso estas vulnerabilidades sejam exploradas com sucesso, permite a um atacante autenticado a execução de ataques Server-Side Request Forgery e a execução código remoto.

 

Resolução

Ainda não existe atualização de segurança para corrigir estas vulnerabilidades, no entanto a Microsoft recomenda e disponibiliza três opções de medidas de mitigação mencionadas em [1].
Aconselha-se também a verificação dos Indicadores de Comprometimento disponibilizados em [2].

Atualização 3 de outubro 2022:
Adicionalmente, é recomendado desativar o acesso PowerShell remoto a utilizadores sem privilégios de administrador.
Foram adicionadas mais informações no capítulo Detection no artigo [3] da Microsoft.

Atualização 5 de outubro 2022:
A Microsoft atualizou o capítulo das Medidas de Mitigação, uma vez que foi melhorada a regra URL Rewrite.  É possível consultar esta atualização em [1].
Recomenda-se que sejam revistas as medidas e que sejam aplicadas com a nova atualização.

Referências
Última atualização em 07-09-2022