Microsoft ha rivelato che sta indagando su due nuove vulnerabilità zero-day che interessano Exchange Server dell’azienda e che vengono attivamente sfruttate dagli hacker ed ha dichiarato di essere a conoscenza di attacchi mirati e limitati che utilizzano queste due vulnerabilità. L’azienda ha dichiarato che un aggressore dovrebbe avere accesso autenticato al server di Exchange vulnerabile, come ad esempio credenziali rubate, per sfruttare con successo una delle due vulnerabilità.
In questi attacchi, CVE-2022-41040 può consentire a un aggressore autenticato di attivare da remoto CVE-2022-41082. Va notato che per sfruttare con successo una delle due vulnerabilità è necessario l’accesso autenticato al server Exchange vulnerabile”, ha dichiarato Microsoft in un aggiornamento sulla sicurezza. L’azienda stava lavorando su una tempistica accelerata per rilasciare una correzione. Fino ad allora, forniremo le mitigazioni e le indicazioni di rilevamento riportate di seguito per aiutare i clienti a proteggersi da questi attacchi”, ha aggiunto.
L’anno scorso, Microsoft ha rilasciato un aggiornamento di sicurezza d’emergenza per il suo software di posta elettronica e comunicazione Exchange quando almeno 30.000 organizzazioni negli Stati Uniti sono state colpite da hacker che hanno rubato le comunicazioni e-mail dai loro sistemi. L’amministrazione del Presidente degli Stati Uniti Joe Biden aveva incolpato la Cina di aver violato il software del server di posta elettronica Microsoft Exchange. Gli attacchi informatici hanno colpito appaltatori della difesa, istituti di istruzione superiore e organizzazioni non governative in tutto il mondo. Microsoft ha dichiarato che sta monitorando i nuovi “rilevamenti zero-day per attività dannose e risponderemo di conseguenza se necessario per proteggere i clienti”. I clienti di Exchange Online non devono intraprendere alcuna azione”, ha aggiunto.
Hacker cinesi dietro l’attacco
Scavando nelle backdoor dell’aggressore, il ricercatore ha sospettato che l’aggressore potesse provenire da un gruppo di attacco cinese perché la codifica di webshell è 936, che è una codifica di caratteri Microsoft per il cinese semplificato. Inoltre, l’hacker modifica anche il contenuto del file RedirSuiteServiceProxy.aspx in contenuto webshell. RedirSuiteServiceProxy.aspx è un nome di file legittimo disponibile nel server Exchange.
Mitigazione temporanea
GTSC ha scritto che potrebbero esserci molte altre organizzazioni che sono state sfruttate da questa vulnerabilità 0-day ma non sono state scoperte. In attesa della patch ufficiale di Microsoft, GTSC fornisce una correzione o patch temporanea per ridurre la vulnerabilità degli attacchi aggiungendo una regola per bloccare le richieste con indicatori di attacco attraverso il modulo URL Rewrite Rule sul server IIS.
- In Autodiscover su FrontEnd selezionare la scheda URL Rewrite, selezionare Blocco richieste
correzione o patch temporanea - Aggiungete la stringa “.autodiscover.json.@.Powershell.” al percorso dell’URL:
correzione temporanea o patch - Input di condizione: Scegliere {REQUEST_URI}
correzione o patch temporanea
Si raccomanda vivamente a tutte le organizzazioni/imprese che utilizzano Microsoft Exchange Server di controllare, rivedere e applicare il rimedio temporaneo di cui sopra il prima possibile per evitare potenziali danni gravi.
