Af Eskil Sørensen, 30/09/22
Det skriver Bleeping Computer som opfølgning på en historie fra tidligere i dag om, at et vietnamesisk sikkerhedsfirma, GTSC, havde fundet to sårbarheder i Exchange og rapporteret dem til Zero Day Initiative.
At Microsoft har bekræftet dem betyder også, at der er kommet id-numre på dem i form af CVE’erne CVE-2022-41040 og CVE-2022-41082. Den første er en Server-Side Request Forgery (SSRF) sårbarhed, mens den anden ifølge Microsoft tillader fjernafvikling af kode (RCE), når PowerShell er tilgængelig for angriber.
Microsoft melder, at man er opmærksom på ’begrænsede målrettede angreb, der bruger de to sårbarheder til at komme ind i brugernes systemer.’
Kombinationen af de to sårbarheder er farlig. Dog kan CVE-2022-41040 kun udnyttes af godkendte angribere. Til gengæld giver succesfuld udnyttelse afa CVE-2022-41040 angribere mulighed for udnytte CVE-2022-41082 til remote code execution.
Ifølge Bleeping Computer behøver Microsoft Exchange Online- behøver ikke at foretage sig noget i øjeblikket, da 0-dagssårbarheder kun påvirker lokale Microsoft Exchange-forekomster.Microsoft melder, at der arbejdes på at udgive en rettelse. Indtil da er der mulighed for at afbøde og detektere evt. angreb. Her bekræfter Microsoft, at de metoder som GTSC, hvis sikkerhedsforskere også rapporterede de to fejl til Microsoft privat gennem Zero Day Initiative for tre uger siden.
Disse fremgår også af Microsoft Security Response Centers advisory om sårbarhederne. Se linket hertil nedenfor.