Microsoft poinformował, iż analizuje dwie luki w zabezpieczeniach zero-day dotyczące programów Exchange Server 2013, 2016 oraz 2019. Pierwsza to CVE-2022-41040 typu Server-Side Request Forgery (SSRF), a druga CVE-2022-41082 umożliwia zdalne wykonanie kodu, gdy PowerShell jest dostępny dla atakującego.

Aby atakujący mogli wykorzystać te błędy, niezbędny jest uwierzytelniony dostęp do podatnego serwera Exchange – twierdzi koncern.

Microsoft: „ograniczone ataki”

O lukach poinformowała wietnamska firma GTSC, specjalizująca się w cyberbezpieczeństwie. Twierdzi, że już w sierpniu br. wspomniane podatności w Exchange Server wykorzystywano do ataków na klientów. Pozwalały napastnikom penetrować sieć przedsiębiorstwa.

Microsoft przyznaje, że „zdaje sobie sprawę z ograniczonych ataków ukierunkowanych wykorzystujących te dwie luki”. W tych atakach CVE-2022-41040 może umożliwić uwierzytelnionej osobie atakującej zdalne wywołanie CVE-2022-41082.

Koncern zapewnił, iż w przyspieszonym tempie pracuje nad harmonogramem wydania poprawki. Zalecił szereg środków zaradczych i wydał wskazówki mające pomóc klientom chronić się przed atakami.

Rekomenduje m.in. klientom Exchange Server wyłączenie zdalnego dostępu PowerShell dla użytkowników, którzy nie są administratorami.

Wydano też np. rozwiązanie łagodzące problem w usłudze Exchange Emergency Mitigation Service (EEMS), wskazówki dotyczące interfejsu skanowania antymalware (AMSI) oraz zalecono audyt wyjątków antywirusowych w celu optymalizacji wykrywania i blokowania wykorzystania luk w zabezpieczeniach Exchange.