Aktualizováno 4. 10. 2022
Dne 29.9.2022 byly publikovány informace o aktivním zneužívání neznámých zranitelností Microsoft Exchange serveru. Úspěšným zneužitím zranitelností může útočník získat vzdálený přístup na server prostřednictvím instalace web shellu. V principu se jedná o metodu zneužívání dotazů na IIS obdobně jako u zranitelnosti ProxyShell (srpen 2021). Indikátory o kompromitaci Exchange serverů byly detekovány bezpečnostní firmou GTSC na záplatovaných systémech. Microsoft následně oficiálně potvrdil zranitelnost dvou zero-day zranitelností týkajících se on premise Exchange Server. První zranitelnost je popisována jako Server-Side Request Forgery (CVE-2022-41040), druhá jako Remote Code Execution (CVE-2022-41082).
Zranitelnost postihuje produkt Microsoft Exchange Server verzí 2013, 2016 a 2019. Produktu Microsoft Exchange Server Online se zranitelnost netýká.
Microsoft již potvrdil, že urychleně pracuje na vydání bezpečnostních záplat. Do té doby se doporučuje aplikovat dočasný workaround pomocí blokovacího pravidla v „URL Rewrite“ dle postupu níže.
Open the IIS Manager
1. Expand the Default Web Site
2. Select Autodiscover
3. In the Feature View, click URL Rewrite
4. In the Actions pane on the right-hand side, click Add Rules
5. Select Request Blocking and click OK
6. Add String ".*autodiscover\.json.*\@.*Powershell.*" (excluding quotes) and click OK
7. Expand the rule and select the rule with the Pattern ".*autodiscover\.json.*\@.*Powershell.*" and click Edit under Conditions
8. Change the condition input from {URL} to {REQUEST_URI}
Reference
https://thehackernews.com/2022/09/warning-new-unpatched-microsoft.html
https://thehackernews.com/2022/09/microsoft-confirms-2-new-exchange-zero.html
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
https://twitter.com/GossiTheDog/status/1575580072961982464
https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html
