W zeszłym tygodniu pisaliśmy o tym, jak Microsoft popsuł swoimi łatkami Windows Group Policy Objects. Teraz znowu musimy przyczepić się do firmy z Redmond. Właśnie potwierdzili, że wiedzą o dwóch lukach dnia zerowego w Exchange Server, które zostały wykorzystane w atakach ukierunkowanych. I, jak zwykle, pracują już nad poprawkami.
Pierwsza o atakach poinformowała zajmująca się cyberbezpieczeństwem firma z siedzibą w Wietnamie – GTSC. Uważa ona, że ataki, które po raz pierwszy zaobserwowano w sierpniu, były wymierzone w infrastrukturę krytyczną i zostały zainicjowane przez chińską grupę.
Szczegóły techniczne dotyczące podatności nie zostały upublicznione, ale GTSC opisało działania hakerów. Obejmowały one wdrażanie „tylnych drzwi”, ruchy boczne i dostarczanie złośliwego oprogramowania.
Luki zostały zgłoszone za pośrednictwem programu Zero Day Initiative (ZDI) Trend Micro. Microsoft opublikował właśnie wpis na blogu, aby poinformować klientów, że bada obie podatności. Jednocześnie twierdzi, że jedną z wad jest problem z fałszowaniem żądań po stronie serwera (SSRF) śledzony jako CVE-2022-41040, a druga to luka w zdalnym wykonaniu kodu śledzona jako CVE-2022-41082. Uznano, że wpływają one na Exchange Server 2013, 2016 i 2019.
„W tej chwili Microsoft zdaje sobie sprawę z ograniczonych ataków ukierunkowanych, wykorzystujących dwie luki w zabezpieczeniach, aby dostać się do systemów użytkowników. W tych atakach CVE-2022-41040 może umożliwić uwierzytelnionej osobie atakującej zdalne wywołanie CVE-2022-41082. Należy zauważyć, że uwierzytelniony dostęp do podatnego na ataki serwera Exchange jest niezbędny do skutecznego wykorzystania jednej z dwóch luk” — podaje korporacja.
Jak pisaliśmy na początku, Microsoft pracuje nad przyspieszonym harmonogramem, aby naprawić podatności. W międzyczasie przedstawił szczegółowe wytyczne dotyczące sposobów zapobiegania atakom. Twierdzi, że jego produkty bezpieczeństwa powinny wykrywać złośliwe oprogramowanie po jego uruchomieniu oraz aktywność związaną z atakami. Klienci Microsoft Exchange Online nie muszą podejmować żadnych działań.
Oczywiście powyższe tłumaczenie brzmi trochę jak reklama własnych usług. W sieci całe wydarzenie wzbudziło niemałe kontrowersje. Między innymi dlatego, że badacz bezpieczeństwa Kevin Beaumont nazwał te luki „ProxyNotShell”, ze względu na podobieństwa do starej luki ProxyShell, która była wykorzystywana na wolności od ponad roku. W rzeczywistości zanim Microsoft potwierdził zero dni, Beaumont wierzył, że może to być tylko nowy i bardziej skuteczny wariant exploita ProxyShell, a nie rzeczywista nowa luka. Niemniej nazwa chwytliwa, dlatego powyżej prezentujemy graficzkę z publikacji Beaumonta.
O ProxyShell pisaliśmy wyczerpująco już ponad rok temu, między innymi tutaj. Przypomnijmy – w dwa dni złamano 2000 serwerów pocztowych. Pamiętając o tym, nie dziwimy się, że w sieci wywiązała się dyskusja, ponieważ część badaczy uważa wręcz, że opisywane powyżej podatności mogą być związane z tym, że Microsoft nie zabił całkowicie ProxyShell. Poczekamy, zobaczymy. Sytuacja z pewnością będzie się rozwijać.