Microsoft сообщает об уязвимости «нулевого дня»

29.09.2022 компания Microsoft предупредила пользователей об уязвимостях «нулевого дня» в продукте Microsoft Exchange Server.

Компания сообщила о проведении ограниченного числа целевых компьютерных атак с использованием двух неисправленных уязвимостей высокого уровня опасности, затрагивающих продукты Microsoft Exchange Server 2013, Exchange Server 2016 и Exchange Server 2019.

Уязвимость CVE-2022-41040 связана с подделкой запросов со стороны сервера (Server Side Request Forgery, SSRF) и может позволить повысить привилегии в уязвимой системе. Уязвимость CVE-2022-41082 может позволить удаленно выполнить произвольный код, если злоумышленнику доступен Exchange PowerShell. Эксперты отмечают, что эти уязвимости используются в цепочке: CVE-2022-41040 может позволить злоумышленнику, прошедшему аутентификацию в Microsoft Exchange Server, удалённо активировать CVE-2022-41082.

В компании Microsoft сообщили, что работают над исправлением уязвимостей. В качестве временного решения рекомендуют выполнить следующие шаги:

1. Откройте IIS Manager.
2. Выберите Default Web Site.
3. В представлении функций щелкните «Перезаписать URL».
4. На панели «Действия» справа нажмите «Добавить правило».
5. Выберите «Блокировка запроса» и нажмите «ОК».
6. Добавьте строку «.*autodiscover\.json.*\@.*Powershell.*» (исключая кавычки).
7. Выберите «Регулярное выражение» в разделе «Использование».
8. Выберите «Отменить запрос» в разделе «Как заблокировать», а затем нажмите «ОК».
9. Разверните правило и выберите правило с шаблоном .*autodiscover\.json.*\@.*Powershell.* и нажмите «Изменить» в разделе «Условия».
10. Измените ввод условия с {URL} на {REQUEST_URI}.

Компания также выпустила скрипт, позволяющий разорвать цепочку атаки.