Microsoft waarschuwt voor actief aangevallen zerodaylekken in Exchange Server

[Captain Kirk]

Microsoft waarschuwt organisaties en bedrijven voor twee actief aangevallen zerodaylekken in Exchange Server 2013, 2016 en 2019 waardoor een aanvaller code op kwetsbare systemen kan uitvoeren. Een beveiligingsupdate is nog niet beschikbaar. Organisaties kunnen echter mitigerende maatregelen nemen om hun Exchange-servers te beschermen.

De eerste kwetsbaarheid (CVE-2022-41040) is een Server-Side Request Forgery (SSRF) kwetsbaarheid. Hiermee kan een aanvaller de functionaliteit van een server misbruiken om toegang tot resources te krijgen waar hij anders geen directe toegang toe zou hebben. De tweede kwetsbaarheid (CVE-2022-41082) maakte remote code execution (RCE) mogelijk wanneer PowerShell voor de aanvaller toegankelijk is.

Bij de waargenomen aanvallen werd eerst CVE-2022-41040 gebruikt om vervolgens via CVE-2022-41082 code op de Exchange-server uit te voeren. Om beide kwetsbaarheden te kunnen misbruiken moet een aanvaller geauthenticeerde toegang tot de Exchange-server hebben, bijvoorbeeld via een gecompromitteerd e-mailaccount. Zodra aanvallers een Exchange-server hebben gecompromitteerd installeren ze een webshell om toegang te behouden en verdere aanvallen uit te voeren, zo meldt securitybedrijf GTSC dat de zerodays ontdekte. Volgens beveiligingsonderzoeker Kevin Beaumont is een groot aantal Exchange-servers via de kwetsbaarheden van een backdoor voorzien.

Aangezien beveiligingsupdates nog niet beschikbaar zijn adviseert Microsoft het instellen van bepaalde URL-rewrites, waarmee de huidige aanvallen zijn te voorkomen. Verder kan ook het blokkeren van bepaalde poorten gebruikt voor remote PowerShell de aanvallen beperken, aldus het techbedrijf. De impact van de twee kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 8.8 en 6.3.

 

bron: https://www.security.nl