Microsoft chính thức tiết lộ họ đang điều tra hai lỗ hổng bảo mật zero-day ảnh hưởng đến Exchange Server 2013, 2016 và 2019 sau các báo cáo về việc khai thác tự nhiên.
“Lỗ hổng đầu tiên, được xác định là CVE-2022-41040, là lỗ hổng truy vấn phía máy chủ (SSRF), trong khi lỗ hổng thứ hai, được xác định là CVE-2022-41082, cho phép thực thi mã từ xa (RCE) khi powershell có thể truy cập vào kẻ tấn công, “gã khổng lồ công nghệ nói.
Công ty cũng xác nhận rằng họ nhận thức được “các cuộc tấn công có mục tiêu hạn chế” vũ khí hóa các lỗ hổng để có được quyền truy cập ban đầu vào các hệ thống được nhắm mục tiêu, nhưng nhấn mạnh rằng cần có quyền truy cập được xác thực vào Exchange Server dễ bị tấn công để khai thác thành công.
Các cuộc tấn công được Microsoft nêu chi tiết cho thấy rằng hai lỗ hổng được xâu chuỗi với nhau trong một chuỗi khai thác, với lỗi SSRF cho phép kẻ thù được xác thực kích hoạt từ xa việc thực thi mã tùy ý.
Công ty có trụ sở tại Redmond nhấn mạnh thêm rằng họ đang làm việc trên “dòng thời gian tăng tốc” để đưa ra bản sửa lỗi, đồng thời thúc giục khách hàng Microsoft Exchange tại cơ sở thêm quy tắc chặn trong Trình quản lý IIS như một giải pháp tạm thời để giảm thiểu các mối đe dọa tiềm ẩn.
Cần lưu ý rằng Khách hàng Trực tuyến của Microsoft Exchange không bị ảnh hưởng. Các bước để thêm quy tắc chặn như sau:
Mở Trình quản lý IIS Mở rộng Trang web Mặc định Chọn Tự động phát hiện Trong Chế độ xem Tính năng, nhấp vào Ghi lại URL Trong ngăn Tác vụ ở phía bên phải, nhấp vào Thêm Quy tắc Chọn Yêu cầu Chặn và nhấp vào OK Thêm chuỗi “. * Autodiscover \ .json. * \ @. * Powershell. * “(Không bao gồm dấu ngoặc kép) và nhấp vào OK Mở rộng quy tắc và chọn quy tắc với Mẫu”. * Autodiscover \ .json. * \ @. * Powershell. * “Và nhấp vào Chỉnh sửa trong Điều kiện Thay đổi điều kiện nhập từ {URL} đến {REQUEST_URI}
