Microsoft, Proxynotshell olarak bilinen ve Wild in Wild'da sömürülen iki yüksek şiddetli Microsoft Exchange Zero-Day güvenlik açıklarını ele almak için güvenlik güncellemeleri yayınladı.
Saldırganlar, kalıcılık ve veri hırsızlığı için uzlaşmış sunuculara Çin kıyıcı web kabuklarını ve en azından Eylül 2022'den beri kurbanlarının ağlarındaki yanal hareket için iki güvenlik kusurunu zincirliyorlar.
Microsoft, 30 Eylül'deki saldırılarda aktif olarak istismar edildiklerini ve "kullanıcıların sistemlerine girmek için iki güvenlik açıklarını kullanarak sınırlı hedefli saldırıların farkında olduğunu" söyledi.
Şirket, "Microsoft ayrıca kötü niyetli etkinlikler için zaten dağıtılmış bu tespitleri izliyor ve müşterileri korumak için gerekli yanıt eylemlerini alacak. Bir düzeltmeyi yayınlamak için hızlandırılmış bir zaman çizelgesi üzerinde çalışıyoruz."
Şirket daha sonra savunucuların gelen proxynotshell saldırılarını engellemelerine izin vermek için azaltma önlemleri yayınladı, ancak araştırmacılar saldırganların hala atlayabileceğini gösterdikten sonra rehberliği iki kez güncellemek zorunda kaldı.
Microsoft Exchange'de yeni bir sıfır günün var olduğu ve vahşi doğada aktif olarak sömürüldüğüne dair raporlar var. Honeypot dahil olmak üzere önemli sayıda değişim sunucusunun geri yüklendiğini doğrulayabilirim. İzleme konusunu takip etmek için iplik aşağıdakiler:
Bugün, Salı günü Kasım 2022 yamasının bir parçası olarak Microsoft, iki güvenlik açıkını ele almak için güvenlik güncellemeleri yayınladı.
Değişim ekibi, "İlgili güvenlik açıklarının (sınırlı hedefli saldırılar) aktif istismarlarının farkında olduğumuz için, tavsiyemiz bu güncellemeleri bu saldırılara karşı derhal kurmaktır."
"Bu güvenlik açıkları Exchange Server'ı etkiler. Exchange çevrimiçi müşterileri zaten bu SUS'ta ele alınan güvenlik açıklarından korunmuştur ve çevrelerindeki herhangi bir Exchange sunucusunu güncellemek dışında herhangi bir işlem yapması gerekmez."
CVE-2022-41082 ve CVE-2022-41040 olarak izlenen iki güvenlik hatası, Microsoft Exchange Server 2013, 2016 ve 2019'u etkiler.
Saldırganların PowerShell'i sistem bağlamında çalıştırmak ve keyfi veya uzaktan kod yürütme kazanmak için ayrıcalıkları artırmalarını sağlarlar.
Microsoft, CVE-2022-41082 Danışmanlığında, "Bu güvenlik açığının saldırganı, sunucu hesaplarını keyfi veya uzaktan kod yürütmesinde hedefleyebilir."
"Kimlik doğrulanmış bir kullanıcı olarak, saldırgan bir ağ çağrısı aracılığıyla sunucunun hesabı bağlamında kötü amaçlı kodu tetiklemeye çalışabilir."
Proxynotshell güvenlik kusurları, yalnızca kimliği doğrulanmış tehdit aktörleri tarafından uzaktan sömürülebilir, ancak kullanıcı etkileşimi gerektirmeyen düşük karmaşık saldırılarda.
Microsoft, yeni değişim sıfır günlerinin saldırılarda kullanıldığını doğrular
Yeni Microsoft Exchange Zero-Days aktif olarak saldırılarda sömürüldü
Github'da Satılık Sahte Microsoft Exchange Proxynotshell istismarları
Proxynotshell Exchange Zero Day için Microsoft Güncellemeleri
CISA: Bilgisayar korsanları saldırılarda kritik Bitbucket Sunucu Kusurundan yararlanıyor
Kaynak: Bleeping Computer