Uppgötvað var nýja árásarleið á dögunum gagnvart kerfi Microsoft Exchange. Árásarleiðin nýtir veikleikana sem hafa fengið auðkennin CVE-2022-41080 (líklega) sem hefur fengið CVSSv3 skor 8.8 [1] og CVE-2022-41082 [2] sem hefur fengið CVSSv3 skor 8.0 [3,4].
Misnotkun á veikleikunum gerir árásaraðila kleift að senda sérstakar beiðnir á kerfið til að keyra kóða eða skipanir sem geta verið nýttar til innbrota (e. remote code execution) [3,4].
Eftirfarandi kerfi eru veik fyrir göllunum [5]:
- Microsoft Exchange Server 2019
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2013
Eftirfarandi uppfærslur sem komu út 8. nóvember lagfæra þessa veikleika (KB5019758) [5]:
- Exchange Server 2019 CU12 Nov22SU 15.2.1118.20
- Exchange Server 2019 CU11 Nov22SU 15.2.986.36
- Exchange Server 2016 CU23 Nov22SU 15.1.2507.16
- Exchange Server 2016 CU22 Nov22SU 15.1.2375.37
- Exchange Server 2013 CU23 Nov22SU 15.0.1497.44
Þessi árásarleið er svipuð árásarkeðjunni sem var þekkt sem ProxyNotShell nema hér er notast á við Outlook Web Access (OWA) í stað Autodiscover. Þetta gerir það að verkum að mótvægisaðgerðin gagnvart ProxyNotShell sem fargaði PowerShell fyrirspurnum til Autodiscover endapunktsins ver ekki OWA. Seinni veikleikinn í keðjunni, CVE-2022-41082 þarfnast auðkenningar [2] eins og fyrir ProxyNotShell.
Vitað er til að verið er að misnota þessa árásarleið og þar á meðal til gagnagíslatöku, einnig hefur kóði orðið aðgengilegur sem virðist geta misnotað þessa árásarleið [3].
CERT-IS mælir sterklega með að uppfæra kerfin sem allra fyrst ef þau hafa ekki verið uppfærð með nóvember uppfærslunni. Ef ekki er hægt að uppfæra strax er mælt með að afvirkja OWA þar til uppfærsla á sér stað. Hægt er að nálgast fleiri heilræði hjá CrowdStrike, þar á meðal skriftu til að kanna eftir vísbendingum um misnotkun [3]. Ef þið verðið vör við misnotkun má tilkynna það umsvifalaust til CERT-IS.
Tilvísanir:
[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41080
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082
[3] https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/
[4] https://www.rapid7.com/blog/post/2022/12/21/cve-2022-41080-cve-2022-41082-rapid7-observed-exploitation-of-owassrf-in-exchange-for-rce/
[5] https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-november-8-2022-kb5019758-2b3b039b-68b9-4f35-9064-6b286f495b1d