info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

کشف دو آسیب‌پذیری Microsoft Exchange Server

خلاصه: دو آسیب‌پذیری با نام‌های CVE-2022-41082 و CVE-2022-41040 در مایکروسافت اکس چنچ سرور کشف شدند.

 

دو آسیب‌پذیری zero-day جدید Microsoft Exchange Server کشف شده است. اولین آسیب‌پذیری با نام CVE-2022-41040، به صورتی است که امکان جعل درخواست‌های سمت سرور SSRF را فراهم می‌کند. آسیب‌پذیری دوم با نام CVE-2022-41082 است که اجازه دسترسی از راه دور زمانی به مهاجم می‌دهد که مهاجم، دسترسی به PowerShell داشته باشد. مایکروسافت اعلام کرده است که از حملات و تلاش‌ها از این دو آسیب‌پذیری برای دسترسی به رایانه‌های کاربر، آگاه است. همچنین در اطلاعیه‌ای اشاره کرده که آسیب‌پذیری CVE-2022-41040 فقط توسط مهاجمان احراز اصالت شده قابل بهره‌برداری است. پس از بهره‌برداری موفق به مهاجم اجازه می‌دهد تا از آسیب‌پذیری CVE-2022-41082 به صورت اجرای کد از راه دور سوءاستفاده کند.

این شرکت، اعلام کرده که مشتریانی که از Exchange Online استفاده می‌کنند؛ در حال حاضر، نیاز به هیچ اقدامی نیست زیرا اقدامات حفاظتی را برای مشتریان اجرا کرده است.

به گفته GTSC، شرکت امنیت سایبری ویتنامی که در ابتدا حملات مداوم را فاش کرد، سوءاستفاده‌های روز صفر برای نصب پوسته‌های Chopper برای تداوم و سرقت داده است. همچنین برای حرکت‌های جانبی از طریق شبکه‌های قربانی زنجیره‌ای هستند. GTSC همچنین فرض می‌کند که یک سازمان تهدید چینی پشت حملات مستمر بر اساس صفحه کد پوسته‌های وب (code page of the web shells)، که یک کاراکتر مایکروسافت برای زبان چینی ساده شده است، قرار دارد.

برای کاهش دسترسی آسیب‌پذیری‌ها مایکروسافت اعلام کرده است که مشتریان داخلی Microsoft Exchange باید دستورالعمل‌های بازنویسی URL زیر را پیاده‌سازی کنند و پورت‌های Remote PowerShell را مسدود کنند.

Add a blocking rule to "IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions" to stop known attack patterns.‎