A Microsoft está pedindo que usuários de seus servidores Exchange desativem o PowerShell remoto. O motivo é a presença de duas vulnerabilidades zero day que invasores estão explorando ativamente no momento para atacar os servidores Exchange. Só na Holanda, especialistas estimam que existam quase oito mil servidores Exchange em risco. As falhas pela empresa vietnamita de segurança cibernética GTSC. A Microsoft disse que está ciente de “um pequeno número de ataques direcionados” explorando as falhas.
A primeira vulnerabilidade (CVE-2022-41040 ) permite SSRF (Server-Side Request Forgery). Isso proporciona ao invasor que abuse das funcionalidades de um servidor para obter acesso a recursos aos quais não teria acesso direto. A segunda vulnerabilidade (CVE-2022-41082 ) permitiu a execução remota de código (RCE) quando o PowerShell está acessível ao invasor. A Microsoft publicou mitigações para isso, mas pesquisadores alertam que para servidores locais a mitigação está longe de ser suficiente.
As vulnerabilidades estão presentes nas versões Exchange Server 2013, 2016 e 2019. Segundo a empresa de segurança Censys, cerca de 188.000 servidores Exchange em todo o mundo são acessíveis pela internet.
Veja isso
VMware e Microsoft alertam para novos ataques do Chromeloader
Phishing visa serviços de e-mail corporativo da Microsoft
Na semana passada, a Microsoft emitiu um alerta para essas vulnerabilidades: segundo a empresa, de agosto para cá já foram observados ataques direcionados a pelo menos dez organizações. Por meio das vulnerabilidades, os invasores instalam um web shell que permite manter o acesso ao servidor e roubo de todo tipo de informação. Agora que os detalhes sobre as vulnerabilidades se tornaram públicos, espera-se que o número de ataques aumente. Não existe ainda uma atualização de segurança disponível. A Microsoft, no entanto, recomendou medidas de mitigação, incluindo a configuração de URLs de reescrita no servidor Exchange, para que os ataques atuais não funcionem mais.
Ontem, a empresa emitiu um novo comunicado e agora está pedindo às organizações que desativem o PowerShell remoto para usuários que não são administradores. O PowerShell remoto pode se conectar remotamente ao servidor Exchange. Além disso, a Microsoft forneceu mais informações que as organizações podem usar para verificar se seus servidores Exchange foram atacados.