Falešné exploity Microsoft Exchange ProxyNotShell k prodeji na GitHubu

Minulý týden vietnamská firma zabývající se kybernetickou bezpečností GTSC odhalila, že někteří z jejích zákazníků byli napadeni pomocí dvou nových zero-day zranitelností v Microsoft Exchange. Společnost Microsoft potvrdila, že dvě hlášené zranitelnosti Microsoft Exchange Server 2013, 2016 a 2019 byly ve volné přírodě zneužívány.

„První chyba zabezpečení, označená jako CVE-2022-41040, je chyba zabezpečení typu Server-Side Request Forgery (SSRF), a druhá označená jako CVE-2022-41082, umožňuje vzdálené spuštění kódu (RCE), když je PowerShell přístupný útočník,“ uvedl Microsoft.

Bezpečnostní výzkumníci uchovávají technické podrobnosti o zranitelnostech v soukromí a kvůli tomu další výzkumníci a aktéři hrozeb čekají na první veřejné odhalení zranitelnosti, které mohou použít při svých vlastních aktivitách, ať už při obraně sítě nebo jejího nabourání. Aby mohl podvodník využít tohoto klidu před bouří, začal vytvářet úložiště GitHub, kde se pokouší prodávat falešné proof-of-concept exploity pro zranitelnosti Exchange CVE-2022-41040 a CVE-2022-41082.

Výzkumník John Hammond z Huntress Lab tyto podvodníky sleduje a našel pět nyní odstraněných účtů, které se pokoušejí prodat falešné exploity. Jeden podvodný účet se dokonce vydával za Kevina Beaumonta (aka GossTheDog), známého bezpečnostního výzkumníka, který dokumentoval nové zranitelnosti Exchange a dostupná zmírnění.

Úložiště sama o sobě neobsahují nic důležitého, ale soubory README.md popisují, co je v současnosti známo o nových zranitelnostech a obsahují odkaz na stránku SatoshiDisk, kde se podvodník pokouší prodat falešný exploit za 0,01825265 bitcoinů v hodnotě přibližně 420,00 USD.

Microsoft se podělil o zmírnění těchto dvou nových zranitelností Microsoft Exchange zero-day, ale výzkumníci varují, že zmírnění pro on-premise servery zdaleka nestačí.

Chcete-li využít zmírnění na zranitelné servery a doporučení pro zákazníky Exchange Server, můžete se řídit určitými opatřeními dle NÚKIB.

Microsoft ve svých upozorněních na tyto zranitelnosti také uvádí, že pokyny ke zmírnění platí pro zákazníky s místním serverem Exchange Server a že klienti Exchange Online nemusejí provádět žádnou akci. Mnoho organizací má však hybridní nastavení, které kombinuje on-prem s cloudovým nasazením Microsoft Exchange, a ty by měly pochopit, že jsou také zranitelné.

A co na to Visitech? Jednoduché řešení, s naší službou SOC365 obavy o bezpečnost mít nemusíte. Nějaká zero-day zranitelnost je na nás krátká! 😊

Pro více informací o naší službě navštivte visitech.cz.

https://www.bleepingcomputer.com/news/security/microsoft-exchange-server-zero-day-mitigation-can-be-bypassed/

https://thehackernews.com/2022/10/state-sponsored-hackers-likely.html

https://www.bleepingcomputer.com/news/security/fake-microsoft-exchange-proxynotshell-exploits-for-sale-on-github/

https://www.nukib.cz/cs/infoservis/hrozby/1882-upozornujeme-na-zranitelnost-microsoft-exchange-server-cve-2022-41040-cvssv3-6-3-cve-2022-41082-cvssv3-8-8/