Alerta de Vulnerabilidades - Microsoft Exchange Server
Foram identificadas duas vulnerabilidades 0-day (CVE-2022-41040 e CVE-2022-41082) que afetam o Microsoft Exchange Server 2013, 2016 e 2019.
A vulnerabilidade CVE-2022-41040 é de Server-Side Request Forgery (SSRF) e a vulnerabilidade CVE-2022-41082 permite execução de código remoto (RCE) quando o atacante tem acesso à PowerShell.
A vulnerabilidade de SSRF pode permitir que um atacante autenticado explore a vulnerabilidade RCE. Note-se que é necessário um acesso autenticado ao Exchange Server vulnerável para explorar com sucesso qualquer uma das vulnerabilidades.
Estas vulnerabilidades estão a ser ativamente exploradas.
O Microsoft Exchange Online tem deteções e mitigações implementadas, pelo que não há necessidade de ação por parte destes clientes.
Caso estas vulnerabilidades sejam exploradas com sucesso, permite a um atacante autenticado a execução de ataques Server-Side Request Forgery e a execução código remoto.
Ainda não existe atualização de segurança para corrigir estas vulnerabilidades, no entanto a Microsoft recomenda e disponibiliza três opções de medidas de mitigação mencionadas em [1].
Aconselha-se também a verificação dos Indicadores de Comprometimento disponibilizados em [2].
Atualização 3 de outubro 2022:
Adicionalmente, é recomendado desativar o acesso PowerShell remoto a utilizadores sem privilégios de administrador.
Foram adicionadas mais informações no capítulo Detection no artigo [3] da Microsoft.
Atualização 5 de outubro 2022:
A Microsoft atualizou o capítulo das Medidas de Mitigação, uma vez que foi melhorada a regra URL Rewrite. É possível consultar esta atualização em [1].
Recomenda-se que sejam revistas as medidas e que sejam aplicadas com a nova atualização.
[1] https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
[2] https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html
[3] https://www.microsoft.com/security/blog/2022/09/30/analyzing-attacks-using-the-exchange-vulnerabilities-cve-2022-41040-and-cve-2022-41082/