cve - 2022 - 41040和cve - 2022 - 41082:在野外利用ProxyShell变体

微软已确认报告两个零日漏洞在Microsoft Exchange Server在野外被剥削。补丁尚未公布。

背景

9月28日GTSC网络安全技术有限公司发表了一篇博文,(英语翻译出版后)关于他们发现两个零日漏洞在Microsoft Exchange Server。根据GTSC,其安全运营中心团队发现开发2022年8月在其“安全监控与应急响应服务。”

GTSC报道这些漏洞通过趋势科技的Zero Day Initiative (ZDI)但是,看到更多的证据剥削与其他目标,决定发布信息的缺陷以及指标妥协和缓解指导,帮助组织抵御攻击。

9月29日晚,微软确认分配的漏洞和cf - cve - 2022 - 41040和cve - 2022 - 41082 -但尚未发布补丁,说“我们正在加速时间释放修复。“9月30日,微软发布另外一个博客进一步缓解指令,10月3日发表咨询页面这两个缺陷。

分析

cve - 2022 - 41040是一个身份验证服务器端请求伪造脆弱性在Microsoft Exchange服务器分配一个CVSSv3 ZDI得分为6.3分。开发cve - 2022 - 41040可能允许攻击者利用cve - 2022 - 41082。

cve - 2022 - 41082是一个经过验证的远程代码执行漏洞分配CVSSv3得分为8.8。这是非常相似的ProxyShell链的三个弱点Exchange服务器由橙色蔡在2021年发现的。然而,原始ProxyShell攻击链不需要身份验证,而cve - 2022 - 41082。

看起来像一个整洁的变种!

— Orange Tsai (@orange_8361)2022年9月29日,

概念验证

GTSC研究团队提供的细节post-exploitation活动中观察到的攻击利用这些漏洞,但注意不要发布一个详细的概念验证(PoC)。没有公共PoC已被确认。

供应商反应

11月8日,微软发布补丁的漏洞的补丁。

9月29日,微软发布了一个博客与信息检测和缓解这些漏洞,稍后更新改善缓解指导安全研究人员针对测试,证明了原移植可以绕过。组织强烈敦促应用补丁,现在他们是可用的。

确定影响系统

一个站得住脚的列表插件来识别这些漏洞将会出现在这里当他们被释放。这个链接使用一个搜索过滤器来确保所有匹配插件覆盖率将会出现,因为它被释放。当微软发布的补丁,额外的插件将被释放来识别系统的影响。

而额外的插件正在调查报道,我们推荐使用以下插件识别Microsoft Exchange主机在您的环境中:

• 插件ID 108804 -微软Exchange服务器检测(Uncredentialed)
• 安装插件ID 77910 - Microsoft Exchange

此外,成立了一个新的插件(插件ID165705年),目前将报告所有支持版本的Microsoft Exchange高严重性评级。这将帮助我们的客户在识别系统中安装了Microsoft Exchange目前应用补丁的零日漏洞的影响。这个插件可以Nessus插件饲料系列ID 202210060050。

获得更多的信息

• 微软博客:客户指导报告零日漏洞在Microsoft Exchange Server
• 微软博客:分析使用交换漏洞攻击cve - 2022 - 41040和cve - 2022 - 41082
• GTSC网络安全技术有限公司的写(英语)

加入站不住脚的安全响应团队站得住脚的社区。

了解更多关于站得住脚的,第一个网络曝光平台整体管理的现代攻击表面。

得到一个天的免费试用站得住脚的。io脆弱性管理。