Microsoft, vahşi kullanım raporlarının ardından Exchange Server 2013, 2016 ve 2019’u etkileyen iki sıfırıncı gün güvenlik açığını araştırdığını resmen açıkladı.
“CVE-2022-41040 olarak tanımlanan ilk güvenlik açığı, Sunucu Tarafı İstek Sahteciliği (SSRF) güvenlik açığı iken, CVE-2022-41082 olarak tanımlanan ikinci güvenlik açığı, PowerShell tarafından erişilebilir olduğunda uzaktan kod yürütülmesine (RCE) izin verir. saldırgan,” dedi teknoloji devi.
Şirket ayrıca, hedeflenen sistemlere ilk erişim elde etmek için kusurları silahlandıran “sınırlı hedefli saldırıların” farkında olduğunu doğruladı, ancak başarılı bir sömürü elde etmek için savunmasız Exchange Sunucusuna kimliği doğrulanmış erişimin gerekli olduğunu vurguladı.
Microsoft tarafından detaylandırılan saldırılar, iki kusurun bir istismar zincirinde bir araya getirildiğini ve SSRF hatasının kimliği doğrulanmış bir düşmanın rastgele kod yürütmeyi uzaktan tetiklemesine olanak tanıdığını gösteriyor.
Redmond merkezli şirket ayrıca, bir düzeltmeyi zorlamak için “hızlandırılmış bir zaman çizelgesi” üzerinde çalıştığını doğrularken, şirket içi Microsoft Exchange müşterilerini potansiyel tehditleri azaltmak için geçici bir çözüm olarak IIS Yöneticisi’ne bir engelleme kuralı eklemeye çağırıyor.
Microsoft Exchange Online Müşterilerinin etkilenmediğini belirtmekte fayda var. Engelleme kuralı ekleme adımları aşağıdaki gibidir:
- IIS Yöneticisini açın
- Varsayılan Web Sitesini Genişletin
- Otomatik Keşfet’i seçin
- Özellik Görünümünde, URL Yeniden Yaz’ı tıklayın.
- Sağ taraftaki Eylemler bölmesinde, Kural Ekle’yi tıklayın.
- Engelleme İste’yi seçin ve Tamam’a tıklayın
- “.*autodiscover\.json.*\@.*Powershell.*” (tırnak işaretleri hariç) Dizesini ekleyin ve Tamam’ı tıklayın.
- Kuralı genişletin ve “.*autodiscover\.json.*\@.*Powershell.*” Modeli ile kuralı seçin ve Koşullar altında Düzenle’yi tıklayın.
- {URL} olan koşul girişini {REQUEST_URI} olarak değiştirin