Deux nouveaux exploits zero-day dans Microsoft Exchange Server

Deux vulnérabilités d'Exchange classées comme des vulnérabilités de type "zero-day" ont récemment refait surface. Les lacunes ont été découvertes par deux chercheurs de la société de sécurité GTSC. Toutes les versions d'Exchange à partir d'Exchange Server 2013 sont concernées.

Microsoft met également en garde contre cette lacune dans son propre article de blog. Des informations sur la protection temporaire des serveurs Exchange sont également disponibles ici. Dans le billet de blog "Analyser les attaques à l'aide des vulnérabilités Exchange CVE-2022-41040 et CVE-2022-41082", Microsoft entre plus en détail sur le sujet et le BSI met également en garde contre les attaques et fournit des instructions sur la façon de bloquer l'URL correspondante peut.

Ces lacunes ne sont pas de nature théorique, mais sont déjà activement exploitées. Les chercheurs ont déjà trouvé des serveurs infectés et un pot de miel a également été attaqué avec succès. Bien sûr, les serveurs Exchange directement connectés à Internet et offrant la fonction de découverte automatique sont particulièrement menacés.

Les produits de sécurité ne reconnaissent pas encore les attaques, mais il existe un scanner La plupart des produits de sécurité ne reconnaissent pas encore ces attaques et il y a quelques jours, il n'y avait pas de numéro CVE pour celles-ci. Les deux numéros suivants ont maintenant été attribués : CVE-2022-41040 et CVE-2022-41082. Les attaquants qui exploitent ces vulnérabilités peuvent exécuter du code à distance sur les serveurs. Ceci est accessible avec le shell Web à l'aide de requêtes de découverte automatique PowerShell. Cela donne aux attaquants un accès permanent au serveur Exchange. Il est fortement recommandé d'utiliser le logiciel antimalware très puissant pour votre Systèmes d'exploitation Windows.