Microsoft, Microsoft Exchange Server 2013, 2016 ve 2019'da yakın zamanda bildirilen iki sıfır günlük güvenlik açıkının Wild'da kullanıldığını doğruladı.
"CVE-2022-41040 olarak tanımlanan ilk güvenlik açığı, PowerShell'e erişilebildiğinde CVE-2022-41082 olarak tanımlanan ikincisi, sunucu tarafı bir isteği asmeri (SSRF) güvenlik açığıdır. Saldırgan, "dedi Microsoft.
"Şu anda Microsoft, kullanıcıların sistemlerine girmek için iki güvenlik açığını kullanarak sınırlı hedefli saldırıların farkındadır."
Şirket, CVE-2022-41040 kusurunun sadece kimlik doğrulamalı saldırganlar tarafından kullanılabileceğini de sözlerine ekledi. Başarılı sömürü daha sonra CVE-2022-41082 RCE güvenlik açığını tetiklemelerine izin verir.
Microsoft, Exchange çevrimiçi müşterilerinin şu anda herhangi bir işlem yapmasına gerek olmadığını, çünkü şirketin müşterileri korumak için tespit ve hafifletme olduğunu söylüyor.
Microsoft, "Microsoft ayrıca kötü niyetli etkinlikler için zaten dağıtılmış bu tespitleri izliyor ve müşterileri korumak için gerekli yanıt eylemlerini alacak. [..] Bir düzeltmeyi yayınlamak için hızlandırılmış bir zaman çizelgesi üzerinde çalışıyoruz."
İlk olarak devam eden saldırıları bildiren Vietnam siber güvenlik kıyafeti GTSC'ye göre, sıfır günler kalıcılık ve veri hırsızlığı için Çin helikopter web kabuklarını dağıtmak ve kurbanların ağlarında yanal olarak hareket etmek için zincirleniyor.
GTSC ayrıca, bir Çin tehdit grubunun, basitleştirilmiş Çince için kodlayan bir Microsoft karakter olan Web Shells'in kod sayfasına dayanan devam eden saldırılardan sorumlu olabileceğinden şüpheleniyor.
Tehdit grubu ayrıca, bunları tehlikeye atılan sunuculara yüklemek için kullanılan kullanıcı aracısının açıkladığı gibi, Antsword Çin açık kaynaklı web sitesi yönetici aracı ile web kabuklarını da yönetir.
Redmond ayrıca, güvenlik araştırmacıları da üç hafta önce sıfır gün girişimi yoluyla Microsoft'a iki kusur bildiren GTSC tarafından paylaşılan azaltma önlemlerini de doğruladı.
Microsoft, "Microsoft Exchange müşterileri, aşağıdaki URL yeniden yazma talimatlarını gözden geçirmeli ve uygulamalı ve açıkta kalan uzak PowerShell bağlantı noktalarını engellemelidir."
"Mevcut azaltma," IIS Manager -> Varsayılan Web Sitesi -> Otomatik Discover -> URL Yeniden Yazma -> Eylemler "adresine bir engelleme kuralı eklemektir.
Headigation'ı savunmasız sunuculara uygulamak için aşağıdaki adımlardan geçmeniz gerekecektir:
Tehdit aktörleri, CVE-2022-41082 sömürüsü aracılığıyla uzaktan kod yürütme için açık ve savunmasız değişim sunucularında PowerShell'e uzak duran PowerShell'e erişim sağlayabildiğinden, Microsoft ayrıca yöneticilere saldırıları engellemek için aşağıdaki uzak PowerShell bağlantı noktalarını engellemelerini tavsiye eder:
GTSC dün, değişim sunucularının tehlikeye girip girmediğini kontrol etmek isteyen yöneticilerin, uzlaşma göstergeleri için IIS günlük dosyalarını taramak için aşağıdaki PowerShell komutunu çalıştırabileceğini söyledi:
Yeni Microsoft Exchange Zero-Days aktif olarak saldırılarda sömürüldü
CISA: Bilgisayar korsanları saldırılarda kritik Bitbucket Sunucu Kusurundan yararlanıyor
Yeni saldırı artışını hedefleyen eleştirel magento güvenlik açığı
Apple Backports Aktif olarak sömürülen iOS sıfır gününe eski iPhone'lar
Cisco, EOL yönlendiricilerindeki sıfır gününü atlatmaya yönelik kimlik doğrulamasını düzeltmeyecek
Kaynak: Bleeping Computer