Afbødning for 0-dage i Exchange omgået

Sidste uges mitigeringsanbefaling til håndtering af ProxyNotShell er utilstrækkelig.

Microsoft har revideret sine anbefalinger til afbødning af risikoen for udnyttelse af de nyligt afslørede og aktivt udnyttede 0-dags-fejl i Exchange Server.

Det skriver Bleeping Computer og The Hacker News.

De to sårbarheder har id’erne CVE-2022-41040 og CVE-2022-41082 og begge ligger i den høje ende på CVSS-skalaen med score på 8,8. Sårbarhederne har fået navnet ProxyNotShell – ifølge Hacker News på grund af ligheder med de ProxyShell-fejl, som blev rettet sidste år.

Selv om der naturligvis findes sårbarheder med højere CVSS-score, så er fejlene særligt kritiske fordi angribere har formået at kæde en udnyttelse af de to fejl sammen og derigennem opnå mulighed for fjernafvikling af kode på kompromitterede servere med forhøjede privilegier. Dette har ført til angribernes udrulning af web-shells, der er det værktøj, som fjernafviklingen af kode sker igennem. 

Microsoft har endnu ikke frigivet en rettelse til fejlene og har i øvrigt erkendt, at en enkelt statssponsoreret trusselsaktør kan have anvendt fejlene siden august 2022 i ’begrænsede målrettede angreb’.

Mitigering mulig

I sidste uge blev det oplyst, at man kan reducere risikoen for udnyttelse ved hjælp af en midlertidig løsning, som Microsoft har stillet til rådighed, indtil en egentlig rettelse foreligger.

Men rygterne vil vide, at denne mitigering er utilstrækkelig. Dette rygte er også nået til Microsoft, der har revideret URL Rewrite-reglen (også tilgængelig som et selvstændigt PowerShell-script) for at tage højde for dette.  

Det er ikke umiddelbart klart, hvornår Microsoft planlægger at sende en patch ud til de to sårbarheder. The Hacker News spekulerer i, at det kommer ifm. Patch Tuesday-opdateringerne den 11. oktober 2022.

Links:

https://www.bleepingcomputer.com/news/security/microsoft-exchange-server-zero-day-mitigation-can-be-bypassed/

https://thehackernews.com/2022/10/mitigation-for-exchange-zero-days.html

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/