Exchange 0-dagssårbarhed ikke rettet

Microsoft henviser stadig til sine mitigeringsanvisninger.

Microsoft har mod forventning ikke rettet de meget omtalte Exchange serversårbarheder, der er under aktiv udnyttelse.

Det skriver en række medier i forbindelse med nyheden om Patch Tuesday-rettelserne, der er blevet publiceret tirsdag i denne uge. Som altid den anden tirsdag i måneden.

Forventningen var ellers, at de to aktivt udnyttede 0-dages sårbarheder, CVE-2022-41040 og CVE-2022-41082, der har fået navnet ProxyNotShell ville blive rettet. Men Microsoft skriver selv i sin sikkerhedsbulletin, at rettelserne ikke er klar.

I stedet henvises til de mitigeringsanvisninger, som også har voldet Microsoft vanskeligheder, eftersom der ad flere omgang er udsendt nye anvisninger.

Seneste nyt om mitigering fremgår af Microsofts ’Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server’

Links:

https://techcommunity.microsoft.com/t5/exchange-team-blog/customer-guidance-for-reported-zero-day-vulnerabilities-in/ba-p/3641494

https://thehackernews.com/2022/10/microsoft-patch-tuesday-fixes-new.html

https://www.bleepingcomputer.com/news/microsoft/microsoft-october-2022-patch-tuesday-fixes-zero-day-used-in-attacks-84-flaws/

https://www.cisa.gov/uscert/ncas/current-activity/2022/10/11/microsoft-releases-october-2022-security-updates

http://blog.talosintelligence.com/2022/10/microsoft-patch-tuesday-for-october.html

https://www.darkreading.com/vulnerabilities-threats/microsoft-zero-days-exchange-server-exploit-chain-remains-unpatched

https://www.tripwire.com/state-of-security/vert/vert-news/vert-threat-alert-october-2022-patch-tuesday-analysis/

https://www.helpnetsecurity.com/2022/10/11/cve-2022-41033/

https://www.securityweek.com/microsoft-warns-new-zero-day-no-fix-yet-exploited-exchange-server-flaws

https://www.theregister.com/2022/10/11/october_patch_tuesday/

https://www.itnews.com.au/news/october-patch-wednesday-handles-13-critical-vulnerabilities-586334