Наверное, все слышали про то, что в Exchange 2013, 2016 и 2019 появилась новая 0-day уязвимость, которая уже эксплуатируется злоумышленниками. Официального патча нет.
Уязвимости:
- CVE-2022-41082
- CVE-2022-41040
Уязвимость CVE-2022-41082 позволяет удаленно выполнять произвольный код (RCE), а уязвимость CVE-2022-41040 позволяет подделывать запросы на стороне сервера (SSRF). Для успешной эксплуатации уязвимостей необходим аутентифицированный доступ к серверу Exchange и эксплойта в публичном доступе на текущий момент не обнаружено. Но не в публичном, вероятно, он есть.
Возможные последствия: компрометация почтового сервера, утечка данных из почтовых переписок, возможность отправки писем от имени компании.
29 сентября 2022 Microsoft опубликовала сообщение в блоге с подробным описанием шагов по устранению и обнаружению новых уязвимостей:
Но есть одно маленькое но. В статье есть правило, которое нужно впендюрить в IIS:
.*autodiscover\.json.*\@.*Powershell.*
Сегодня (03 октября 2022) выяснилось, что это правило можно обойти. Бдыщъ. Видео обхода:
Новое правило такое:
.*autodiscover\.json.*Powershell.*
Здоровья вам и вашим серверам.
