Microsoft har mod forventning ikke rettet de meget omtalte Exchange serversårbarheder, der er under aktiv udnyttelse.
Det skriver en række medier i forbindelse med nyheden om Patch Tuesday-rettelserne, der er blevet publiceret tirsdag i denne uge. Som altid den anden tirsdag i måneden.
Forventningen var ellers, at de to aktivt udnyttede 0-dages sårbarheder, CVE-2022-41040 og CVE-2022-41082, der har fået navnet ProxyNotShell ville blive rettet. Men Microsoft skriver selv i sin sikkerhedsbulletin, at rettelserne ikke er klar.
Microsoft har fredag foretaget flere forbedringer af den metode til afbødning, der er udgivet for at forhindre udnyttelsesforsøg mod de nyligt afslørede, men endnu ikke rettede sikkerhedsfejl i Exchange Server. De fejl, der har fået navnet ProxyNotShell.
Det skriver The Hacker News på baggrund af en blog fra Microsoft Security Response Center.
I korte træk handler det om revidering af blokeringsreglen i IIS Manager – en regel, der yderligere blev revideret lørdag.
Det er ikke nemt at være hverken til den en eller anden side på det mørke eller ikke-mørke net.
Mens cyberkriminelle forsøger at omgå de mitigeringsforanstaltninger, som Microsoft har anbefalet til afbødning af risikoen for udnyttelse af de nyligt opdagede og udnyttede 0-dagssårbarheder i Microsoft Exchange server, slår svindlere sig op på at sælge falske proof-of-concept ProxyNotShell-udnyttelser om selvsamme sårbarheder.
Det skriver Bleeping Computer, hvis grundige journalist Lawrence Abrams har været på det mørke net og kigget nærmere på det, der trender pt.
Det skriver Bleeping Computer som opfølgning på en historie fra tidligere i dag om, at et vietnamesisk sikkerhedsfirma, GTSC, havde fundet to sårbarheder i Exchange og rapporteret dem til Zero Day Initiative.
At Microsoft har bekræftet dem betyder også, at der er kommet id-numre på dem i form af CVE’erne CVE-2022-41040 og CVE-2022-41082. Den første er en Server-Side Request Forgery (SSRF) sårbarhed, mens den anden ifølge Microsoft tillader fjernafvikling af kode (RCE), når PowerShell er tilgængelig for angriber.
BlackByte efterlader en løsesumsnote i alle mapper, hvor kryptering forekommer.
Noten inkluderer en .onion-side (TOR), der indeholder instruktioner til betaling af løsesum og modtagelse af en dekrypteringsnøgle. Der rapporteres om brug kendte Microsoft Exchange Server-sårbarheder (bl.a. CVE-2022-21969, CVE-2022-21855 og CVE-2022-21846) som udnyttes til at få adgang til infrastrukturen.
Microsoft har udsendt en rettelse til håndtering af fejl i Exchange mailserveren, der har sat mails i kø siden årsskiftet. Angiveligt har der været problemer med overgangen fra 2021- årstal til 2022 i kalendersystemet. Det skriver Computerworld og en række andre medier.
Problemet findes i Exchange Server 2016 og Exchange Server 2019’s malwaremotor, hvilket får mails til at stå i kø i systemet. Men der skulle ikke være problemer med de scanningsfunktioner, der løbende scanner efter malware.
Proof-of-concept exploitkode er blevet frigivet for en aktivt udnyttet, alvorlig sårbarhed, der påvirker Microsoft Exchange-servere. Det skriver Bleeping Computer.
Hvis angribere formår at udnytte sårbarheden, får de mulighed for at afvikle kode eksternt på sårbare Exchange-servere.
Fejlen med id’et CVE-2021-42321, der påvirker Exchange Server 2016 og Exchange Server 2019, blev rettet af Microsoft under denne måneds Patch Tuesday, men da ikke alle opdaterer lige med det samme, er tilgængeligheden af POC-koden en god anledning til at få det gjort.
Microsoft har udsendt 55 sikkerhedsopdateringer i forbindelse med novembers Patch Tuesday. To af opdateringerne knytter sig til to 0-dagssårbarheder i Exchange server.
Det skriver Security Affairs.
I alt er tale om rettelser til sårbarheder i Azure, Azure RTOS, Azure Sphere, Microsoft Dynamics, Microsoft Edge (Chromium-baseret), Exchange Server, Microsoft Office og Office-komponenter, Windows Hyper-V, Windows Defender og Visual Studio.
Microsoft har i dag advaret systemadministratorer om ’øjeblikkeligt’ at rette en alvorlig Exchange Server-sårbarhed, der kan give godkendte angribere mulighed for at afvikle kode eksternt på sårbare servere. Det skriver Dark Reading.
Fejlen har id’et CVE-2021-42321, og den påvirker Exchange Server 2016 og Exchange Server 2019. Microsoft skriver i sin advisory, at man er opmærksom på ’begrænsede målrettede angreb in the wild’ ved hjælp af CVE-2021-42321, som er en post-authentificationsårbarhed i Exchange 2016 og 2019.