Перейти к основному содержанию

Exchange — 0-day уязвимость

Exchange

Наверное, все слышали про то, что в Exchange 2013, 2016 и 2019 появилась новая 0-day уязвимость, которая уже эксплуатируется злоумышленниками. Официального патча нет.

Уязвимости:

  • CVE-2022-41082
  • CVE-2022-41040

Уязвимость CVE-2022-41082 позволяет удаленно выполнять произвольный код (RCE), а уязвимость CVE-2022-41040 позволяет подделывать запросы на стороне сервера (SSRF). Для успешной эксплуатации уязвимостей необходим аутентифицированный доступ к серверу Exchange и эксплойта в публичном доступе на текущий момент не обнаружено. Но не в публичном, вероятно, он есть.

Возможные последствия: компрометация почтового сервера, утечка данных из почтовых переписок, возможность отправки писем от имени компании.

29 сентября 2022 Microsoft опубликовала сообщение в блоге с подробным описанием шагов по устранению и обнаружению новых уязвимостей:

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero.%20-day-vulnerabilities-in-microsoft-exchange-server/

Но есть одно маленькое но. В статье есть правило, которое нужно впендюрить в IIS:

.*autodiscover\.json.*\@.*Powershell.*

Сегодня (03 октября 2022) выяснилось, что это правило можно обойти. Бдыщъ. Видео обхода:

Новое правило такое:

.*autodiscover\.json.*Powershell.*

Здоровья вам и вашим серверам.

Ссылки

https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

Теги

 

Похожие материалы

Exchange — отказано в доступе

Уволился сотрудник, не простой, а сисадмин. Давно уже. Дело обычное, во всех компаниях имеется текучка кадров. Понадобилось его почтовый ящик подключить новому сотруднику. Но не тут-то было.

Теги