Microsoft publie un avis pour deux vulnérabilités 0-Day dans Exchange Server, pas encore de correctif

Microsoft Exchange Server ne peut tout simplement pas s’arrêter. L’année dernière, la société a mis en garde contre les attaques généralisées contre les serveurs locaux et s’est précipitée pendant plusieurs semaines pour détailler les mesures pour y remédier et publier des mises à jour de sécurité. Il semble maintenant que le logiciel soit à nouveau attaqué avec deux vulnérabilités 0-day .

Comme c’est généralement le cas, cela n’affecte pas les clients Exchange Online et ils n’ont rien à faire. Les vulnérabilités s’appliquent aux installations locales d’Exchange Server 2013, 2016 et 2019.

Les deux vulnérabilités sont étiquetées CVE-2022-41040 et CVE-2022-41082, respectivement. La première est une vulnérabilité SSRF (Server Side Request Forgery), tandis que la seconde permet à un attaquant d’effectuer des attaques d’exécution de code à distance (RCE) via PowerShell. Cependant, un attaquant aurait besoin d’un accès authentifié au serveur Exchange pour exploiter l’une des deux vulnérabilités.

Comme il n’y a pas encore de correctif, Microsoft n’est naturellement pas entré dans les détails de la chaîne d’attaque. Cependant, il a noté plusieurs mesures d’atténuation, notamment l’ajout d’une règle de blocage aux instructions de réécriture d’URL et le blocage des ports 5985 (HTTP) et 5986 (HTTPS) utilisés par Remote PowerShell.

Malheureusement, il n’y a pas de recherches spécifiques pour Microsoft Sentinel, et Microsoft Defender pour Endpoint ne peut détecter que les activités de post-exploitation, qui incluent également la détection du malware Web Shell « Chopper » qui a été trouvé dans des attaques « dans la nature ». Microsoft a assuré à ses clients qu’il travaillait sur une « voie rapide » pour le correctif, mais n’a pas encore révélé de date de sortie provisoire pour le correctif. Vous pouvez trouver plus d’informations sur l’atténuation et la détection des vulnérabilités 0-day ici .