خلاصه: دو آسیبپذیری با نامهای CVE-2022-41082 و CVE-2022-41040 در مایکروسافت اکس چنچ سرور کشف شدند.
دو آسیبپذیری zero-day جدید Microsoft Exchange Server کشف شده است. اولین آسیبپذیری با نام CVE-2022-41040، به صورتی است که امکان جعل درخواستهای سمت سرور SSRF را فراهم میکند. آسیبپذیری دوم با نام CVE-2022-41082 است که اجازه دسترسی از راه دور زمانی به مهاجم میدهد که مهاجم، دسترسی به PowerShell داشته باشد. مایکروسافت اعلام کرده است که از حملات و تلاشها از این دو آسیبپذیری برای دسترسی به رایانههای کاربر، آگاه است. همچنین در اطلاعیهای اشاره کرده که آسیبپذیری CVE-2022-41040 فقط توسط مهاجمان احراز اصالت شده قابل بهرهبرداری است. پس از بهرهبرداری موفق به مهاجم اجازه میدهد تا از آسیبپذیری CVE-2022-41082 به صورت اجرای کد از راه دور سوءاستفاده کند.
این شرکت، اعلام کرده که مشتریانی که از Exchange Online استفاده میکنند؛ در حال حاضر، نیاز به هیچ اقدامی نیست زیرا اقدامات حفاظتی را برای مشتریان اجرا کرده است.
به گفته GTSC، شرکت امنیت سایبری ویتنامی که در ابتدا حملات مداوم را فاش کرد، سوءاستفادههای روز صفر برای نصب پوستههای Chopper برای تداوم و سرقت داده است. همچنین برای حرکتهای جانبی از طریق شبکههای قربانی زنجیرهای هستند. GTSC همچنین فرض میکند که یک سازمان تهدید چینی پشت حملات مستمر بر اساس صفحه کد پوستههای وب (code page of the web shells)، که یک کاراکتر مایکروسافت برای زبان چینی ساده شده است، قرار دارد.
برای کاهش دسترسی آسیبپذیریها مایکروسافت اعلام کرده است که مشتریان داخلی Microsoft Exchange باید دستورالعملهای بازنویسی URL زیر را پیادهسازی کنند و پورتهای Remote PowerShell را مسدود کنند.
Add a blocking rule to "IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions" to stop known attack patterns.