Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Dwa niezałatane 0days w Microsoft Exchange. Są wykorzystywane w atakach…

30 września 2022, 16:11 | W biegu | komentarzy 5

O szczegółach CVE-2022-41040 (SSRF) oraz CVE-2022-41082 (RCE) Microsoft donosi tutaj. Od razu warto zaznaczyć, że wykorzystanie luk (i przejęcie serwera) wymaga posiadania konta dowolnego użytkownika (trzymamy kciuki za odpowiednio silne hasła Waszych użytkowników – jeśli chodzi o dostęp do Exchange):

At this time, Microsoft is aware of limited targeted attacks using the two vulnerabilities to get into users’ systems.  In these attacks, CVE-2022-41040 can enable an authenticated attacker to remotely trigger CVE-2022-41082.

Microsoft na razie nie udostępnia łatki (ale pracuje nad nią intensywnie), za to proponuje workaround, który sprowadza się do zablokowania na wystawionym do świata serwerze IIS, wywołania pewnej ścieżki URL (która umożliwia odpalenie atakującemu Powershella):

Aktualizacja: ponoć sugerowany przez Microsoft workaround można łatwo ominąć:

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Kamil

    Ludzie kupują licencje za ciężkie pieniądze, a tu takie kwiatki…

    Odpowiedz
  2. Paweł

    Czemu tu na stronie sekuraka jest screen dotyczący strony autodiscover a na Microsoft nakazuje dodać wpisy na Default Web Site myślę że kilka osób może się nabrać :)

    Odpowiedz
    • Link do pełnego workaround we wpisie ;) Przy czym udało się go ominąć (aktualizacja). Być może Microsoft już coś odpowiedział.

      Odpowiedz
  3. Przemek
    Odpowiedz
    • Tak, mamy już aktualizację wpisu ;)

      Odpowiedz

Odpowiedz