A Microsoft emite um comunicado para duas vulnerabilidades de 0 dia no Exchange Server, sem patch ainda

O Microsoft Exchange Server simplesmente não pode parar. No ano passado, a empresa alertou sobre ataques generalizados em servidores locais e correu várias semanas para detalhar medidas para resolvê-los e lançar atualizações de segurança. Agora parece que o software está sendo atacado novamente com duas vulnerabilidades de 0 dias .

Como geralmente acontece, isso não afeta os clientes do Exchange Online e eles não precisam fazer nada. As vulnerabilidades se aplicam a instalações locais do Exchange Server 2013, 2016 e 2019.

As duas vulnerabilidades são marcadas como CVE-2022-41040 e CVE-2022-41082, respectivamente. A primeira é uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF), enquanto a segunda permite que um invasor execute ataques de execução remota de código (RCE) por meio do PowerShell. No entanto, um invasor precisaria de acesso autenticado ao Exchange Server para explorar qualquer uma das duas vulnerabilidades.

Como ainda não há correção, a Microsoft compreensivelmente não entrou nos detalhes da cadeia de ataque. No entanto, ele observou várias mitigações, que incluem a adição de uma regra de bloqueio às instruções de reescrita de URL e o bloqueio das portas 5985 (HTTP) e 5986 (HTTPS) usadas pelo Remote PowerShell.

Infelizmente, não há pesquisas específicas para o Microsoft Sentinel, e o Microsoft Defender for Endpoint só pode detectar atividades pós-exploração, que também incluem a detecção de malware de shell da Web ” Chopper ” que foi encontrado em ataques “em estado selvagem”. A Microsoft garantiu aos clientes que está trabalhando em uma “via rápida” para a correção, mas ainda não revelou uma data de lançamento provisória para a correção. Você pode encontrar mais informações sobre mitigação e detecção de vulnerabilidade de 0 dia aqui .