A Microsoft divulgou oficialmente que está investigando duas vulnerabilidades de segurança de dia zero que afetam as versões do Exchange Server 2013, 2016 e 2019 após relatórios de exploração em estado selvagem.
“A primeira vulnerabilidade, identificada como CVE-2022-41040 , é uma vulnerabilidade de SSRF (Server-Side Request Forgery), enquanto a segunda, identificada como CVE-2022-41082 , permite a execução remota de código (RCE) quando o PowerShell está acessível ao atacante”, disse a gigante da tecnologia.
A empresa também confirmou que está ciente de “ataques direcionados limitados” que armam as falhas para obter acesso inicial a sistemas direcionados, mas enfatizou que o acesso autenticado ao Exchange Server vulnerável é necessário para obter uma exploração bem-sucedida.
Os ataques detalhados pela Microsoft mostram que as duas falhas estão unidas em uma cadeia de exploração, com o bug do SSRF permitindo que um adversário autenticado acione remotamente a execução de código arbitrário.
A empresa com sede em Redmond enfatizou ainda que está trabalhando em uma “linha do tempo acelerada” para enviar uma correção, simultaneamente, em que insta os clientes locais do Microsoft Exchange a adicionar uma regra de bloqueio no IIS Manager como uma solução temporária para mitigar possíveis ameaças.
Vale a pena notar que os clientes do Microsoft Exchange Online não são afetados. As etapas para adicionar a regra de bloqueio são as seguintes:
- Abra o Gerenciador do IIS
- Expandir o site padrão
- Selecione Descoberta Automática
- Na Exibição de Recurso, clique em Reescrever URL
- No painel Ações no lado direito, clique em Adicionar Regras
- Selecione Solicitar bloqueio e clique em OK
- Adicione a string “.*autodiscover\.json.*\@.*Powershell.*” (excluindo as aspas) e clique em OK
- Expanda a regra e selecione a regra com o Padrão “.*autodiscover\.json.*\@.*Powershell.*” e clique em Editar em Condições
- Altere a entrada de condição de {URL} para {REQUEST_URI}