684083
29.09.2022 компания Microsoft предупредила пользователей об уязвимостях «нулевого дня» в продукте Microsoft Exchange Server.
Компания сообщила о проведении ограниченного числа целевых компьютерных атак с использованием двух неисправленных уязвимостей высокого уровня опасности, затрагивающих продукты Microsoft Exchange Server 2013, Exchange Server 2016 и Exchange Server 2019.
Уязвимость CVE-2022-41040 связана с подделкой запросов со стороны сервера (Server Side Request Forgery, SSRF) и может позволить повысить привилегии в уязвимой системе. Уязвимость CVE-2022-41082 может позволить удаленно выполнить произвольный код, если злоумышленнику доступен Exchange PowerShell. Эксперты отмечают, что эти уязвимости используются в цепочке: CVE-2022-41040 может позволить злоумышленнику, прошедшему аутентификацию в Microsoft Exchange Server, удалённо активировать CVE-2022-41082.
В компании Microsoft сообщили, что работают над исправлением уязвимостей. В качестве временного решения рекомендуют выполнить следующие шаги:
- Откройте IIS Manager.
- Выберите Default Web Site.
- В представлении функций щелкните «Перезаписать URL».
- На панели «Действия» справа нажмите «Добавить правило».
- Выберите «Блокировка запроса» и нажмите «ОК».
- Добавьте строку «.*autodiscover\.json.*\@.*Powershell.*» (исключая кавычки).
- Выберите «Регулярное выражение» в разделе «Использование».
- Выберите «Отменить запрос» в разделе «Как заблокировать», а затем нажмите «ОК».
- Разверните правило и выберите правило с шаблоном .*autodiscover\.json.*\@.*Powershell.* и нажмите «Изменить» в разделе «Условия».
- Измените ввод условия с {URL} на {REQUEST_URI}.
Компания также выпустила скрипт, позволяющий разорвать цепочку атаки.