malicious-code-4036349_1280.jpg

Novos zero days do Exchange estão sendo usados em ataques

Microsoft confirma que que duas vulnerabilidades de dia zero no Exchange Server 2013, 2016 e 2019 estão sendo exploradas por cibercriminosos
Da Redação
30/09/2022

Microsoft confirma que que duas vulnerabilidades de dia zero no Exchange Server 2013, 2016 e 2019 estão sendo exploradas por cibercriminosos

A Microsoft confirmou que duas vulnerabilidades de dia zero no Exchange Server 2013, 2016 e 2019 , relatadas recentemente, estão sendo exploradas por cibercriminosos. A primeira vulnerabilidade, identificada como CVE-2022-41040, é uma vulnerabilidade Server-Side Request Forgery (SSRF), enquanto a segunda, identificada como CVE-2022-41082, permite a execução remota de código (RCE) quando o PowerShell está acessível ao invasor.

Veja isso
Hackers anexam aplicativos OAuth no Exchange para espalhar spam
Backdoor SessionManager visa servidores Exchange no mundo

“Neste momento, a Microsoft está ciente de ataques direcionados limitados usando as duas vulnerabilidades para entrar nos sistemas dos usuários”, disse a empresa em comunicado. A fabricante acrescentou que a falha CVE-2022-41040 só pode ser explorada por invasores autenticados. A exploração bem-sucedida permite que eles acionem a vulnerabilidade CVE-2022-41082 RCE.

A Microsoft diz que os clientes do Exchange Online não precisam realizar nenhuma ação no momento porque a empresa possui detecções e mitigação para proteger os clientes. “A Microsoft também está monitorando essas detecções já implantadas para atividades maliciosas e tomará as medidas de resposta necessárias para proteger os clientes. Estamos trabalhando em um cronograma acelerado para lançar uma correção”, acrescentou.

De acordo com a equipe de segurança cibernética vietnamita GTSC, que relatou pela primeira vez os ataques em andamento, os dias zero são encadeados para implantar os shells da China Chopper para persistência e roubo de dados e se mover lateralmente pelas redes das vítimas. O GTSC também suspeita que um grupo de ameaças chinês possa ser responsável pelos ataques em andamento com base na página de código dos shells da web, uma codificação de caracteres da Microsoft para chinês simplificado.

O grupo de ameaças também gerencia os shells da web com a ferramenta de administração de sites de código aberto Antsword Chinese, conforme revelado pelo agente de usuário usado para instalá-los em servidores comprometidos.

A Microsoft também confirmou as medidas de mitigação compartilhadas ontem pelo GTSC, cujos pesquisadores de segurança também relataram as duas falhas à empresa, em particular por meio da Zero Day Initiative, três semanas atrás. “Os clientes locais do Exchange devem revisar e aplicar as seguintes instruções de reescrita de URL e bloquear portas expostas do PowerShell remoto:

• Abra o Gerenciador do IIS.
• Expanda o site padrão.
• Selecione “Descoberta automática”.
• Em “Exibição de recurso”, clique em “Reescrever URL”.
• No painel ações à direita, clique em “Adicionar regras”.
• Selecione “Solicitar bloqueio” e clique em OK.
• Adicione a string “.*autodiscover\.json.*\@.*Powershell.*” (excluindo as aspas) e clique em OK.
• Expanda a regra e selecione a regra com o padrão “.*autodiscover\.json.*\@.*Powershell.*” e clique em “Editar em condições”.
• Altere a entrada de condição de {URL} para {REQUEST_URI}

Como os operadores de ameaças também podem obter acesso ao PowerShell Remoting em servidores Exchange expostos e vulneráveis ​​para execução remota de código por meio da exploração CVE-2022-41082, a Microsoft também aconselha os administradores a bloquear as seguintes portas remotas do PowerShell para impedir os ataques:

• HTTP: 5985
• HTTPS: 5986

Compartilhar:

Últimas Notícias